Ismeritek ezt a vírust? - Mobilarena Hozzászólások

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Aktív témák

#143 lordring aktív tag

2003-11-05 14:53:59 #143
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

lordring

aktív tag

Sziasztok! 2 napja megőrülök egy (valószínűleg) vírustól,ami állandóan átállítja a tizedesjegyek számát a területi beállításoknál nullára. Már NAV2004 és AVG le volt futtatva,legfrisseb definiciós fájlokkal,semmi eredmény. Egy chat-n mondta vki , hogy neki is ugyanez volt és 1edül a Symantec Antivirus tudta megtalálni,nekem meg az nincs /pillanat. Nem ismeri vki?
#142 littlemole őstag Polesz #141

2003-11-05 10:05:39 #142
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

littlemole

őstag

válasz Polesz #141 üzenetére

Ok Megpróbálkozom vele.
#141 Polesz addikt littlemole #140

2003-11-04 07:05:12 #141
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Polesz

addikt

válasz littlemole #140 üzenetére

Szerintem írj egy email-t a virusbusternek. Nagyon készségesek.
#140 littlemole őstag

2003-11-04 06:52:33 #140
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

littlemole

őstag

Üdv

Letöltöttem a virusbuster magyar fejlesztésű progit,és talált egy Empire nevezetű vírust.Próbáltam további infókat szerezni róla de a vírusadatbázisokban csak egy evil empire nevűt találtam.Az meg szerintem nem az,de lehet hogy tévedek.
A virusbuster azt írja ki hogy ''empire szekvencia.
Valaki használja ezt a programot keresésre? Szóval találkozott valaki ezzel a vírussal?
#139 Gregorius őstag ranger #137

2003-08-15 16:53:55 #139
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

válasz ranger #137 üzenetére

halt meg a vírustól a Windows Update is
A fél ms.com halott, még a vírusra vonatkozó KB cikkeket se lehet leérni

Hasonló esetekre ajánlom a NetAcademia.hu-t:
[L]http://msdownload.netacademia.net/[/L]
[L]http://msdownload.netacademia.net/download.asp?prt=Security%20Hotfix[/L]

Pár napos késéssel követik az MS javítócsomagjait
#138 Chakotay77 csendes tag ranger #137

2003-08-15 16:24:31 #138
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Chakotay77

csendes tag

válasz ranger #137 üzenetére

Szerintem az nem a vírustól halt meg, hanem a sok felhasználótól, aki most akarja leszedni a frissítést. :C
#137 ranger csendes tag HEBI #136

2003-08-15 16:07:42 #137
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

ranger

csendes tag

válasz HEBI #136 üzenetére

Ma 08-15-én halt meg a vírustól a Windows Update is!:P
#136 HEBI senior tag

2003-08-15 09:30:04 #136
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

HEBI

senior tag

Ez elég jó lecke volt mindenkinek, ezek után legalább mindenki letölti a frissítéseket. Mondjuk ez a bizonyos update szolgáltatás bele van építve az winxp-be, csak nem kellene mindent kikapcsolni. Ezek a mai gépek rengeteg szolg
áltatást elbírnak, nem fognak belassulni...
#135 lesaux veterán Grafman #133

2003-08-15 08:45:57 #135
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

lesaux

veterán

válasz Grafman #133 üzenetére

Aztán le is kéne törölni (asszem, C:windowssystem32msblast.exe), majd a Microsoft oldaláról leszedni a patchet, hogy ne jöjjön vissza.
Az első 4-5 hozzászólás valamelyikében van a link.
#134 beeboy addikt

2003-08-15 08:38:19 #134
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

ág és az msblast.exe v. a többi neve
#133 Grafman aktív tag

2003-08-15 02:42:40 #133
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Grafman

aktív tag

A registryből mit kell kiszedni, hogy megdögöljön végre ez a szemét féreg?
#132 Den veterán Warlock_42 #61

2003-08-14 12:51:30 #132
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Den

veterán

válasz Warlock_42 #61 üzenetére

miért mi a baj ezzel? denial of service szerinted mit jelent?
#131 Som@ őstag Enemy #130

2003-08-14 12:42:35 #131
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz Enemy #130 üzenetére

Én is ezt próbáltam elmondani. De úgy látszik nem nagyon sikerült. :DDD
#130 Enemy aktív tag Som@ #129

2003-08-14 12:38:19 #130
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #129 üzenetére

Én feltolk mindent (KB 5 óra) Atán a beállítások után DriveImage..
ha gond van akkor kb 5 perc a 4Gb os tömörített anyag helyrepakolása
#129 Som@ őstag Edem #126

2003-08-14 12:25:27 #129
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz Edem #126 üzenetére

Rendszer nincsen mentve havonta! Az egyszer ki lett írva Cdre, amikor már minden megfelelően működött, de még nem szemetelt semmit a Windows. Ha gond van, csak ezt kell elővenni!

Minek mentsek le egy agyonszemetelt windowst? :F
#128 detri aktív tag Enemy #120

2003-08-14 12:19:29 #128
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

detri

aktív tag

válasz Enemy #120 üzenetére

Válasz is...
#127 detri aktív tag Pötyi #118

2003-08-14 12:14:01 #127
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

detri

aktív tag

válasz Pötyi #118 üzenetére

Köszi, de nem felel meg, mert nem a mostani béna vírus ellen keresek removal toolt, hanem egy normális vírusírtó kell. :)
(Egyébként mutathattál volna másik hozzászólásra, és akkor majdnem teljesen igazad lett volna. :) Említettek itt valami orosz programot is többek között. Csak azért gondoltam rákérdezek, remélem nem akkora baj... :DDD )
#126 Edem senior tag Som@ #119

2003-08-14 12:06:06 #126
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Edem

senior tag

válasz Som@ #119 üzenetére

Érdemes a rendszert is backup-olni mondjuk havonta. Ghost-tal kb 3 perc.
#125 Enemy aktív tag

2003-08-14 12:03:00 #125
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

sorry de a iE itt egy kicsit sz.kodik.. azt irta nincs jogosultságom.....
#124 Enemy aktív tag Som@ #119

2003-08-14 12:02:12 #124
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #119 üzenetére

Az igazság az hogy szombaton 5 órai telepítés után mással kellett foglalkoznom majd amikor legközelebb odaültem a gép elé akkor az asszonyka meg alarta nézni a Stal oldalát és ott egyszer leált.. aztán újból.. még nem volt befejezve a dolog (telepítés )
Én már nem használom game-re a gépet .. video, audio mentésre konvertáőlásra dvd-s dolgokra használom.. családi videok dvd-s feldolgozását ''probálom'' szerkesztgetni... Honlap szerkesztés .. Corel... ilyenek mennek.. A NETEN általában ihletet gyüjtők....
MA már minden oké..
#123 Enemy aktív tag Som@ #119

2003-08-14 12:01:55 #123
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #119 üzenetére

Az igazság az hogy szombaton 5 órai telepítés után mással kellett foglalkoznom majd amikor legközelebb odaültem a gép elé akkor az asszonyka meg alarta nézni a Stal oldalát és ott egyszer leált.. aztán újból.. még nem volt befejezve a dolog (telepítés )
Én már nem használom game-re a gépet .. video, audio mentésre konvertáőlásra dvd-s dolgokra használom.. családi videok dvd-s feldolgozását ''probálom'' szerkesztgetni... Honlap szerkesztés .. Corel... ilyenek mennek.. A NETEN általában ihletet gyüjtők....
MA már minden oké..
#122 Enemy aktív tag Som@ #119

2003-08-14 12:01:47 #122
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #119 üzenetére

Az igazság az hogy szombaton 5 órai telepítés után mással kellett foglalkoznom majd amikor legközelebb odaültem a gép elé akkor az asszonyka meg alarta nézni a Stal oldalát és ott egyszer leált.. aztán újból.. még nem volt befejezve a dolog (telepítés )
Én már nem használom game-re a gépet .. video, audio mentésre konvertáőlásra dvd-s dolgokra használom.. családi videok dvd-s feldolgozását ''probálom'' szerkesztgetni... Honlap szerkesztés .. Corel... ilyenek mennek.. A NETEN általában ihletet gyüjtők....
MA már minden oké..
#121 Enemy aktív tag Som@ #119

2003-08-14 12:01:34 #121
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #119 üzenetére

Az igazság az hogy szombaton 5 órai telepítés után mással kellett foglalkoznom majd amikor legközelebb odaültem a gép elé akkor az asszonyka meg alarta nézni a Stal oldalát és ott egyszer leált.. aztán újból.. még nem volt befejezve a dolog (telepítés )
Én már nem használom game-re a gépet .. video, audio mentésre konvertáőlásra dvd-s dolgokra használom.. családi videok dvd-s feldolgozását ''probálom'' szerkesztgetni... Honlap szerkesztés .. Corel... ilyenek mennek.. A NETEN általában ihletet gyüjtők....
MA már minden oké..
#120 Enemy aktív tag detri #117

2003-08-14 11:53:47 #120
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz detri #117 üzenetére

mail ment...
#119 Som@ őstag detri #117

2003-08-14 11:52:35 #119
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz detri #117 üzenetére

''de lehet hogy roszul volt konfigolva.. már javítottam most oké minden''

Lehet, hogy ez volt a gond. :D
#118 Pötyi őstag detri #117

2003-08-14 11:51:39 #118
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Pötyi

őstag

válasz detri #117 üzenetére

Hát, például - az általad gondosan végigolvasott - jelen téma 51. hozzászólásában ajánlotthoz mit szólsz? :DD
#117 detri aktív tag Enemy #69

2003-08-14 11:48:01 #117
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

detri

aktív tag

válasz Enemy #69 üzenetére

Akkor ajánlj egy jó irtót!
Soha nem használtam vírusirtót, soha nem is volt semmi baj, eddig az apró hülyeségig. Szóval nem ismerem az irtókat.
#116 Enemy aktív tag Som@ #114

2003-08-14 11:46:34 #116
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #114 üzenetére

nekem is volt tüzfal + viruskergető de benyeltem.. mindig tanul az ember.. a viruskergető friss volt.. a tüzfal be volt kapcsolva de lehet hogy roszul volt konfigolva.. már javítottam most oké minden... 2 tüzfal van fenn..
#115 Crion aktív tag

2003-08-14 09:09:31 #115
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Crion

aktív tag

Én is találkoztam tegnap ezzel a virussal, semmi extra, csinál egy registry bejegyzést, és fut. Simán ki lehet lőni taskmanaggerből és regedittel kiszeded a kulcsot, restartolsz és letörlöd a file-t. Kb ennyi kiirtani. Amúgy az RPC szolgáltatást lövi le.
Egyetértek az előttem szolóhoz, ha azt töltöd le amiröl tudod, hogy mi, és nem csak ugy hébe hóba töltögetsz, akkor nem kapsz be semmi féle ilyen okosságot. Állítom, hogy legalább a felének közületek fut GMT, és CMESYS is folyamatosan.
#114 Som@ őstag Enemy #113

2003-08-14 08:55:01 #114
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz Enemy #113 üzenetére

Nincsen problémám. Csak nem szeretem a ''jókivánságokat''. :(
Ezzel sem vagy egyedül.
#113 Enemy aktív tag Som@ #111

2003-08-14 08:44:14 #113
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #111 üzenetére

Was is deine Probleme.. ?
Hidd el előbb utóbb mindeki megkapja.. vagy igy vagy ugy.. de lehet hogy te egy négylevelű lóherével mászkálsz... és ez véd meg a rontástól....
#112 Enemy aktív tag

2003-08-14 08:42:02 #112
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

Tegnap folyamatosan csörgött a telefonom emiatt a virus miatt.. Elég sokan bekapták... mehetek csinálni.....
#111 Som@ őstag Enemy #109

2003-08-14 08:39:51 #111
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz Enemy #109 üzenetére

Köszi a jókivánságokat! :D
#110 X-COM nagyúr Som@ #108

2003-08-14 08:33:47 #110
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

válasz Som@ #108 üzenetére

persze ettől függetlenül a javítások telepítése nagyonis ajánlott
#109 Enemy aktív tag Som@ #103

2003-08-14 08:32:17 #109
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #103 üzenetére

Ami késik az nem mulik!!! hidd el megkapod .. oszán majd te is letőltőd...
#108 Som@ őstag X-COM #107

2003-08-14 08:29:31 #108
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz X-COM #107 üzenetére

:D
#107 X-COM nagyúr

2003-08-14 08:27:34 #107
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

ha van fent tűzfal, hogy tudna már megfertőzni, hisz minden tűzfal defaultból zárja a kérdéses 135ös port!

idézet a security bulletinből

Mitigating factors:
====================

- To exploit this vulnerability, the attacker would require the
ability to send a specially crafted request to port 135 on the
remote machine. For intranet environments, this port would
normally be accessible, but for Internet connected machines, the
port 135 would normally be blocked by a firewall. In the case
where this port is not blocked, or in an intranet configuration,
the attacker would not require any additional privileges.

- Best practices recommend blocking all TCP/IP ports that are
not actually being used. For this reason, most machines attached
to the Internet should have port 135 blocked. RPC over TCP is not
intended to be used in hostile environments such as the internet.
More robust protocols such as RPC over HTTP are provided for
hostile environments.
#106 Som@ őstag beeboy #104

2003-08-14 08:23:50 #106
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz beeboy #104 üzenetére

Nem hiszek a mázlikban!:(
#105 beeboy addikt Jano #101

2003-08-14 08:21:58 #105
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

válasz Jano #101 üzenetére

nálam látszott: msblast.exe
és a regedit run mappáit is nézd át
#104 beeboy addikt Som@ #103

2003-08-14 08:21:24 #104
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

válasz Som@ #103 üzenetére

lehet hogy csak mázli...
#103 Som@ őstag Enemy #102

2003-08-13 23:11:29 #103
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz Enemy #102 üzenetére

Ha te mondod. Én viszont nem kaptam meg! (Kopp-kopp :D). Pedig nem tettem fel semmilyen hibajavítást!
#102 Enemy aktív tag Som@ #95

2003-08-13 23:05:03 #102
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Som@ #95 üzenetére

mindegy ennek tüzfal viruskergető ....ha fent vagy akkor ko pacs nélkül...
#101 Jano senior tag Jano #99

2003-08-13 22:49:52 #101
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Jano

senior tag

válasz Jano #99 üzenetére

A Feladat kezelőben látszik?
#100 X-COM nagyúr

2003-08-13 22:49:20 #100
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

nem, azokat nem
#99 Jano senior tag

2003-08-13 22:46:05 #99
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Jano

senior tag

De fájlokat nem fertőz?
#98 X-COM nagyúr X-COM #97

2003-08-13 22:45:01 #98
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

válasz X-COM #97 üzenetére

ill. akár lokális hálózatban is elkaphatod, ha bekerül egy fertőzött gép
#97 X-COM nagyúr Jano #96

2003-08-13 22:44:21 #97
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

válasz Jano #96 üzenetére

nem kell semmit csinálnod, elég, ha csak a neten vagyon
#96 Jano senior tag

2003-08-13 22:41:44 #96
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Jano

senior tag

Oldal nézegetéssel is be lehet kapni?
#95 Som@ őstag Pötyi #93

2003-08-13 22:40:51 #95
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

válasz Pötyi #93 üzenetére

''Ez az én olvasatomban azt jelenti, hogy ha egy rendszergarázda nem baszogatásnak veszi a Windows update felugró ablakát és nem lövi le, akkor nem szopja be a blastert...''

Valamelyest egyetértek. De azért bevallom őszintén, az Xp SP1es után már kicsit szkeptikusabb vagyok billi javítócsomagjaival. Amúgy szerintem egy jól beállított tűzfal és egy állandóan frissülő antivírusprogi is megelőzi a bajt.
#94 Fr4G aktív tag

2003-08-13 22:35:24 #94
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fr4G

aktív tag

Szivas, mert en csomo format utan mindig lusta vagyok feltenni a frissiteseket, es most is mar le volt toltve a ''puritan xp''rol a majdnem a legfrissebb verzioig minden frissites megsem tettem fel, mondvan ''Nincs kedvem resetelni:)''. Mazlim van, hogy nem kaptam be a virust pedig azert naponta elegge jelentos idomennyiseget toltok fent a neten:)
#93 Pötyi őstag

2003-08-13 22:24:00 #93
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Pötyi

őstag

Hát... amikor ez a javítás megjelent a Microsoft honlapján, az 2003. július 05-e volt.

Nevesstek ki, vagy köpjetek le, de én felraktam nem sokkal utána, mert a Windows update beugatott, hogy van valami frissítés... Éppen unatkoztam, hát legyen neked egy jó napod, letöltöm, oszt installáltam...

Ahogy olvastam a témát, kiderült belőle, hogy a hibát kihasználó vírus 2003. augusztus mittudomén hanyadikán jelent meg.

Khm... EGY HÓNAPJA létezik a hibára javítás!

Ez az én olvasatomban azt jelenti, hogy ha egy rendszergarázda nem baszogatásnak veszi a Windows update felugró ablakát és nem lövi le, akkor nem szopja be a blastert... :D
#92 vicces addikt

2003-08-13 21:41:42 #92
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

vicces

addikt

nálam sincs semmmi nyoma. közben csak nézek, ahogy körülöttem mindenki szenved.
barátnőm tegnap betárcsázás után pár másod perccel már meg is kapta...:))

szegény...
az elöbb hivott, hogy már csak 14 m.perce van. .....és én erről maradok le!!!!!
pedig ugy megnézném a gépét...

...

most irtja, persze engem is hivogat közben.

ugyes kislány, mi?
#91 Som@ őstag

2003-08-13 21:35:31 #91
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Som@

őstag

Nálam semmi nyoma (kopp-kopp), viszont az egyik helyen valszeg bekapták rendesen. Holnap mehetek babrálni a rendszert! :(((
#90 mura81 senior tag Sanyo #89

2003-08-13 21:16:49 #90
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

mura81

senior tag

válasz Sanyo #89 üzenetére

nem tudom de tény hogy valami nagyon döglött picipuháék házatáján:C
#89 Sanyo senior tag mura81 #88

2003-08-13 21:15:50 #89
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Sanyo

senior tag

válasz mura81 #88 üzenetére

A sajat rendszeruk javitasat nem tettek volna fel? :)
#88 mura81 senior tag

2003-08-13 20:21:22 #88
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

mura81

senior tag

most akarom éppen letölteni a winxp-patchet ami ezt az msblast nevű vírust leírtja, szerencsére nem azért mert benyeltem volna csak hát az ördög nem alszik - ezért karikásak a szemei - de azt az érdekességet tapasztalom hogy se a micro$oft.hu se a micro$oft.com nem igazán akar működni, azaz a download szekció irgalmatlanul lassú. a magyar ráadásul hanyatt is lökte az IE-met úgyhogy most Operával nyomulok.
Csak nem nyelték be Picipuháék is a vírust?:))
#87 up senior tag beeboy #82

2003-08-13 16:01:55 #87
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

up

senior tag

válasz beeboy #82 üzenetére

A Panda nekem tetszik. Csak az nem szimpatikus, hogy a javító tooljaik regisztrációhoz kötöttek.
#86 Enemy aktív tag up #80

2003-08-13 15:53:09 #86
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz up #80 üzenetére

A javítás nem konkrétan erről a vírusról szól.... Ne szőrőzzünk....

A kaspersky jó ez tény .. mindet megfog és az esetk 85% át javítja . Előbb javít mint hasonló kaliberű progik. A CA sem kutya..
#85 beeboy addikt

2003-08-13 12:00:01 #85
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

ja jó, megvan sorry
#84 beeboy addikt

2003-08-13 11:59:56 #84
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

ja jó, megvan sorry
#83 beeboy addikt

2003-08-13 11:55:14 #83
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

a magyar w2000-hez honnan lehet letölteni a patch-t?
csak az enu-t találtam meg
#82 beeboy addikt

2003-08-13 11:44:25 #82
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

a pandához mit szóltok?

ez ingyenes, úgyis veszem a pcworld-öt
#81 X-COM nagyúr Kalandor #79

2003-08-13 11:33:02 #81
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

válasz Kalandor #79 üzenetére

hát igen az egyik, 100fileból 50szer ad téves riasztást, másik 60szor :D
#80 up senior tag Enemy #75

2003-08-13 11:31:01 #80
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

up

senior tag

válasz Enemy #75 üzenetére

Mit javított rajta? Merthogy a vírus tudtommal az RPC-n keresztül elindítja a tftp-t, és letölti a fertőzött gépről a vírus kódját, amit msblast.exe néven ment el. Ez csak a vírust tartalmazza, nemigen van mit javítani rajta... bár ha boldogabb vagy egy 0 byte-os file-lal, mint egy törléssel, te tudod! :)

Á, csak szőröztem, a norton tényleg elég szar. De ez sztem nem javítható, mivel nem fertőz meg file-t.
#78 X-COM nagyúr

2003-08-13 11:29:53 #78
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

igen,ez a heuristic scan :)
minden normális víruskergető tuggya
#76 Enemy aktív tag

2003-08-13 11:20:50 #76
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

löjetek le ...
#75 Enemy aktív tag beeboy #74

2003-08-13 11:18:40 #75
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz beeboy #74 üzenetére

Én nem ezt használom mert a tapasztalatom az hogy sokkal sérülékenyebb mint pl....
Azonos update ű viruskergető esetén a norton az adott virussal nem tudott foglalkozni javítás helyeett törlés.. a konkurencia javította nem kellett törölni..
#74 beeboy addikt Enemy #69

2003-08-13 11:11:12 #74
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

válasz Enemy #69 üzenetére

a norton más szerint is pocsék?
csak a neve lenne nagy?
#73 beeboy addikt detri #68

2003-08-13 11:09:38 #73
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

válasz detri #68 üzenetére

érdekes a norton nálam se mutatta ki, a futó folyamatok között meg ott volt az msblast.exe
#72 beeboy addikt

2003-08-13 11:08:34 #72
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

beeboy

addikt

én is megkaptam, nem nagy durranás leszedni.

nálam a w2000-t nem lőtte le, csak az svchost.exe-t babrálta
registrybe is befészkelte magát msblast.exe néven
#71 Szalma őstag detri #68

2003-08-13 11:03:56 #71
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz detri #68 üzenetére

Nem feltétlenül sikerül átmásolnia magát a féregnek. Így a gép döglesztésén kívül (távolról) nem csinál mást, a géped nem lesz egy új terjedési forrás.

Szeretettel:
Szalma
#70 X-COM nagyúr

2003-08-13 10:59:37 #70
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

szerintem csináld meg manuálisan, nem egy nagy mutatvány
#69 Enemy aktív tag detri #68

2003-08-13 10:55:27 #69
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz detri #68 üzenetére

A nortont hagyjuk.. az vagy tőről vagy belebukik a mutatványba és talán 40 % át már javítani is tudja....
#68 detri aktív tag

2003-08-13 10:48:01 #68
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

detri

aktív tag

Miért van az, hogy feltettem az XP patchet (utána már télleg nem indult újra a gép) aztán ráuszítottam a frissített nortont, és nem talál vírust?
#66 Enemy aktív tag X-COM #65

2003-08-13 10:43:25 #66
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz X-COM #65 üzenetére

Oké igazad van.. Majdnem igy gondoltam .. köszi a helyesbítést..
#65 X-COM nagyúr Enemy #64

2003-08-13 10:39:47 #65
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

válasz Enemy #64 üzenetére

nincs egészen igaza, az alap valóban egy biztonsági rés

viszont azóta már van egy vírus ami ezt a rést használja ki, hogy feltelepítse magát, mint backdoor és ennek segítségével fertőz tovább
#64 Enemy aktív tag

2003-08-13 10:35:33 #64
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

Ez végülis nem virus hanem egy biztonsági hiba amit valaki vagy valkik rosz célra használnak fel... ( ezt a rendszergazda mondta)Én hiszek neki.. szeretnék egyszer annit tudni mint ő.
#63 Fr4G aktív tag

2003-08-12 23:02:27 #63
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fr4G

aktív tag

Érdekes, egyik gyerek az en keresemre nekem is ujrainditotta a gepemet, azonban, azot nem jelentkezik a dolog.
#62 Sav tag

2003-08-12 16:29:13 #62
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Sav

tag

Öcs is bekapta tegnap, aztán lett belőle nagy hepaj (magyarán én kaptam tőle az arcomra), hogy miért kell elküldenem a sok programozó parasztot mirc-en, most ez lett belőle... Aztán majdnem pofánvágtam, de tudtam, hogy nem olyan nagy a baj, a végén megoldottuk a problémát... :))
#61 Warlock_42 senior tag Ketama #33

2003-08-12 16:25:55 #61
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Warlock_42

senior tag

válasz Ketama #33 üzenetére

'' DDoS (elosztott szolgáltatás-megtagadás) ''

hát ez aláz, de rendesen ;] ;] ;]

Ki volt az, aki megint ennyire magyarítani (elnézést: angoltalanítani) akart ?
#60 peace&love aktív tag

2003-08-12 16:23:39 #60
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

peace&love

aktív tag

Ez is leszedi:
[L]http://www.bitdefender.com/bd/downloads/removaltools/Antimsblast-EN.exe[/L]
letölt futtat,
aztán imádkozás, hogy a Microsoft következő címe ne legyen túlterhelt,
[L]http://download.microsoft.com/download/5/7/8/578edca5-7d72-4e19-9d41-79d1abda3be3/WindowsXP-KB823980-x86-HUN.exe[/L]
leszed, patch felrak.
kész.

aki rendszeresen update-el az meg is menekült előle, mert a patch benne volt a fontos frissítésekben, 07.16. óta....
#59 Batman őstag

2003-08-12 16:17:18 #59
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Batman

őstag

Thx a segítséget most mér jo nem indul újra tehát lefuttathatok 1 vírusírtót!!
thx
#58 Szalma őstag mura81 #57

2003-08-12 16:14:59 #58
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz mura81 #57 üzenetére

Ez nem az a vírus. Olvasson előrébb... Ebbe jellemzően a NAV is belebukott ma ~délig...

Szeretettel:
Szalma
#57 mura81 senior tag

2003-08-12 16:12:34 #57
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

mura81

senior tag

Nekünk nap mint nap küld valamelyik ügyfelünk ilyen vírust (nem szándékosan hanem azok benyelnek 1et aztán az meg elkldi magát a címlistában szereplő címekre) és a Norton Antivirus 2003 tökéletesen leszedi őket. Bugbear, Worm, W32 ... eddig mind1iket leszedte.
#56 gabranek senior tag Zenty #54

2003-08-12 16:08:13 #56
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

gabranek

senior tag

válasz Zenty #54 üzenetére

meg nem probaltam. tegnap keso este kaptam be a kicsiket es mar nem volt kedve szorakozni vele.
Az a szomoru, hogy kb 2 hete letoltottem a ms patchet csak lusta voltam feltenni. Igy jartam :)
#55 Szalma őstag Ketama #53

2003-08-12 16:06:30 #55
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz Ketama #53 üzenetére

OFF
1 perc alatt!? ;]
ON

Szeretettel:
Szalma
#54 Zenty őstag gabranek #51

2003-08-12 16:04:44 #54
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Zenty

őstag

válasz gabranek #51 üzenetére

removal tool leirtja mert nekem csak megtalálta de fent maradt ez inkáb kereső mint írtó 8(
#53 Ketama aktív tag Batman #48

2003-08-12 16:04:17 #53
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Ketama

aktív tag

válasz Batman #48 üzenetére

Ha elolvastad volna a hozzaszolasokat es nem csak irkalnal, akkor tudnad, honnan kell letolteni a javitast es mit kell vele csinalni.

Itt mindent megtalalsz:
[L]http://www.microsoft.com/technet/security/bulletin/MS03-026.asp[/L]
#52 Zenty őstag Batman #48

2003-08-12 16:03:49 #52
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Zenty

őstag

válasz Batman #48 üzenetére

akd fel indisd ujra gépet ésa kkor nem fog restartolni de virus fend marad azt ahogy mondtam egy virus irrtóval simán le lehet szedni
#51 gabranek senior tag Batman #48

2003-08-12 16:03:46 #51
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

gabranek

senior tag

válasz Batman #48 üzenetére

angol xp: [L]http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=en[/L]

removal tool: [L]http://securityresponse.symantec.com/avcenter/FixBlast.exe[/L]
#50 Szalma őstag Batman #48

2003-08-12 16:03:13 #50
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz Batman #48 üzenetére

Adminisztrátorként Control Panel -> Administrative Tools -> Services -> Remote Procedure Call -> Recovery fül -> az összes failure-t állítsd Take No Action-re.

Jó szórakozást!!!

Szeretettel:
Szalma
#49 Zenty őstag Batman #48

2003-08-12 16:02:46 #49
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Zenty

őstag

válasz Batman #48 üzenetére

http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
#48 Batman őstag Zenty #47

2003-08-12 15:57:52 #48
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Batman

őstag

válasz Zenty #47 üzenetére

de nekem angol xpm van es megint uja indul mar nagyon ideges vagyok
#47 Zenty őstag Batman #46

2003-08-12 15:56:35 #47
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Zenty

őstag

válasz Batman #46 üzenetére

http://download.microsoft.com/download/5/7/8/578edca5-7d72-4e19-9d41-79d1abda3be3/WindowsXP-KB823980-x86-HUN.exe ha winxp hun van
ezt tölds le és rakd fel utána egy virus írtóval szed le a kicsikét
#46 Batman őstag

2003-08-12 15:51:12 #46
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Batman

őstag

Na valaki plzzz segítsen
nem akarom újra telapíteni a rendszert!!!
#45 Batman őstag

2003-08-12 15:47:33 #45
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Batman

őstag

aa mar indul is ujra
#44 Batman őstag

2003-08-12 15:46:22 #44
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Batman

őstag

plz siessetek
#43 Batman őstag

2003-08-12 15:45:40 #43
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Batman

őstag

Hogy lehet azt a vírust eltávolítani amely kiír valami service-hibát meg valami RCP-t és visszaszámol 1prctől és utána ujraíndítja a rendszert hogyan lehet leszedni?????Már nagyon idegesít plz gyorsan írjatok mert mindjárt ujra indul a gépem :((((((
#42 Skica őstag Gregorius #41

2003-08-12 14:46:29 #42
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Skica

őstag

válasz Gregorius #41 üzenetére

:C:C:C:C:C:C:C:C
#41 Gregorius őstag

2003-08-12 14:38:58 #41
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gregorius

őstag

Nem lehetett volna a cikkekre mutató linkeket beszúrni, ha már ekkorák?
Nem lehetett volna a ''hű, állat, hogy ez miket ír össze'' hozzászólásokat elhagyni?
#40 Enemy aktív tag Dirtyz #37

2003-08-12 13:22:02 #40
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz Dirtyz #37 üzenetére

bő beszédű!
#39 Dirtyz őstag Dirtyz #37

2003-08-12 13:09:56 #39
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Dirtyz

őstag

válasz Dirtyz #37 üzenetére

Monnyuk tegnap este én is dc-tem 2k alól, de nem tapasztaltam semmit, amit írtatok.
#38 crab senior tag Dirtyz #37

2003-08-12 13:08:54 #38
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

crab

senior tag

válasz Dirtyz #37 üzenetére

Kettő is van...
#37 Dirtyz őstag

2003-08-12 13:07:52 #37
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Dirtyz

őstag

Woow! Ez aztán a hozzászólás! :F
#36 crab senior tag

2003-08-12 13:07:09 #36
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

crab

senior tag

Ez mi?
#33 Ketama aktív tag

2003-08-12 12:45:00 #33
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Ketama

aktív tag

Téma: Megjelent és terjed az első valódi RPC féreg
[Riasztási fokozata: 2-es (magas).]

Név: Lovsan
Alias: MSBlast, Lovsun, Blaster, Poza

2003. augusztus 11-én európai idő szerint este figyeltek fel az új féregre,
amely Microsoft-ellenes üzenetet hordoz. Éjfélre az F-Secure cég
figyelmeztető rendszere Radar 2-es szintre emelte a kártevőre vonatkozó
vírusriasztást.

A LovSan az NT alapú (Windows NT4, 2000, XP, 2003.NET) rendszerekben
található RPC/DCOM szolgáltatás július közepe óta ismert, rendkívül súlyos
biztonsági hiányosságát használja ki. A kártevő elleni védekezésben a
vírusismeret frissítésével azonos fontosságú, hogy a hiba javítása érdekében
azonnal alkalmazzuk a Microsoft által kibocsátott patch fájlokat, amelyek az
angol és nemzeti nyelvi változatú kiadásokhoz itt találhatók:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Az általunk forgalmazott víruskereső programok képesek felismerni a Lovsan
férget az alábbi frissítésekkel:
F-Secure database version: 2003-08-12_01
Trend Micro pattern file: 604 / engine 5.600
Kaspersky Labs: 2003.08.12 update

Fertőzés módja:

A mindössze 6176 bájt méretű (kitömörítve 11 kB-nyi) ''msblast.exe'' fájl
lefuttatásakor bemásolja magát a rendszermappába (általában
C:WindowsSystem32 vagy C:WINNTSystem32) és létrehozza a
'HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunwindows auto update'
nevű registry kulcsot, így a féreg minden rendszerindításkor betöltődik. A
többszörös fertőzést a memóriában egy ''BILLY'' nevű kizárás (ún. mutex)
létrehozásával akadályozza meg.

Terjedés: A LovSan közvetlenül a hálózaton keresztül terjed. Egyszerre 20,
folytonosan elhelyezkedő távoli IP-címet vizsgál meg sebezhető gépek után
kutatva. Megkísérel kapcsolódni a távoli gép 135-ös portjához, ha ez
sikeres, véletlenszerűen választ két értéket, majd ezeket bemenetként
felhasználva lefuttatja a többféle DCOM exploit egyikét, amellyel
hozzáférést szerez a géphez. A víruskód továbbítására a LovSan saját,
beépített TFTP szervert alkalmaz (ez egy UDP-alapú, nagyon egyszerű
fájlátviteli protokoll), az adatokat a távoli gépen a Windows 2000/XP
rendszerekbe gyárilag beépített FTPS kliens dolgozza fel. A felmásolt fájlt
a féreg shell hozzáférés segítségével automatikusan lefuttatja.

A terjedés logikája érdekes, a féreg véletlen kiindulóponttal,
szekvenciálisan keresi végig a sebezhető hostokat. A LovSan 1 és 20 közti
véletlen szám választásával dönti el, hogy a keresés kiindulópontja a
fertőzött gép saját címe legyen (ha a szám 12 vagy nagyobb), vagy pedig
tetszőleges IP címet választ. Tekintsük az IP címeket A.B.C.D alakban:
Ha a saját címéből indul ki, D értéke mindig nulla és a féreg vigyáz arra,
hogy a C tag értéke 21 alatt legyen; ha nem, kivon belőle 20-at. Ha véletlen
címtől indul, az alábbi feltételekkel választ:
A értéke 1-től 254-ig
B értéke 0-tól 253-ig
C értéke 0-tól 253-ig
D értéke mindig 0

Meg nem erősített hírek szerint a féreg képes megakadályozni a hálózati
kapcsolat szoftverből történő lebontását. A tűzfalak szerepe fontos a
járvány megállításában, mivel a 135-ös UDP/TCP port blokkolása megvédheti a
tűzfal mögött elhelyezkedő helyi hálózatokat a kívülről érkező MSBlast
fertőzéstől.

Károkozó rutin
A LovSan egyértelműen Microsoft ellenes üzenetet hordoz, a kódban található
rejtett szöveg Bill(y) Gates-nek, a szoftvercég elnökének szól.

''I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your
software!!''

A féreg szavakon kívül tettekkel is támad, augusztus 16-tól kezdve az év
hátralévő részében mindennap DDoS (elosztott szolgáltatás-megtagadás) típusú
támadást indít a Microsoft által üzemeltetett <windowsupdate.com:80> cím
ellen, másodpercenként 50db 40 bájtos csomaggal bombázva a webhelyet.
#32 Enemy aktív tag

2003-08-12 12:40:20 #32
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

W32.Blaster.Worm Removal Tool
Discovered on: August 11, 2003
Last Updated on: August 11, 2003 08:01:58 PM PDT

Symantec Security Response has developed a removal tool to clean the W32.Blaster.Worm infections.

What the tool does

The W32.Blaster.Worm Removal Tool does the following:

Terminates the W32.Blaster.Worm viral processes.
Deletes the W32.Blaster.Worm files.
Deletes the dropped files.
Deletes the registry values that the worm added.

Command-line switches available with this tool

Switch

Description

/HELP, /H, /?
Displays the help message.

/NOFIXREG
Disables the registry repair. (We do not recommend using this switch.)

/SILENT, /S
Enables the silent mode.

/LOG=<path name>
Creates a log file where <path name> is the location in which to store the tool's output. By default, this switch creates the log file, FixBlast.log, within the same folder from which the removal tool was executed.

/MAPPED
Scans the mapped network drives. (We do not recommend using this switch. Refer to the Notes below.)

/START
Forces the tool to immediately start scanning.

/EXCLUDE=<path>
Excludes the specified <path> from scanning. (We do not recommend using this switch.)

NOTE: Using the /MAPPED switch does not ensure the complete removal of the virus on the remote computer, because:
Scanning the mapped drives scans the mapped folders only. This action may not include all the folders on the remote computer, leading to missed detections.
If a viral file is detected on the mapped drive, the removal will fail if a program on the remote computer uses this file.

For these reasons, run the tool on every computer.

Obtaining and running the tool

NOTE: You need administrative rights to run this tool on Windows 2000, or Windows XP.
Download the FixBlast.exe file from:

http://securityresponse.symantec.com/avcenter/FixBlast.exe

Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible).
To check the authenticity of the digital signature, refer to the section, ''Digital signature.''
Close all the running programs before running the tool.
If you are running Windows XP, then disable System Restore. Refer to the section, ''System Restore option in Windows Me/XP,'' for additional details.

CAUTION: If you are running Windows XP, we strongly recommend that you do not skip this step. The removal procedure may be unsuccessful if Windows XP System Restore is not disabled, because Windows prevents outside programs from modifying System Restore.

Double-click the FixBlast.exe file to start the removal tool.
Click Start to begin the process, and then allow the tool to run.

NOTE: If, when running the tool, you see a message that the tool was not able to remove one or more files, run the tool in Safe mode. Shut down the computer, turn off the power, and wait 30 seconds. Restart the computer in Safe mode and run the tool again. All the Windows 32-bit operating systems, except Windows NT, can be restarted in Safe mode. For instructions, read the document ''How to start the computer in Safe Mode.''

Restart the computer.
Run the removal tool again to ensure that the system is clean.
If you are running Windows XP, then re-enable System Restore.
Run LiveUpdate to make sure that you are using the most current virus definitions.

When the tool has finished running, you will see a message indicating whether W32.Blaster.Worm infected the computer. In the case of a worm removal, the program displays the following results:
Total number of the scanned files
Number of deleted files
Number of terminated viral processes
Number of fixed registry entries

Digital signature
FixBlast.exe is digitally signed. Symantec recommends that you only use copies of FixBlast.exe that have been directly downloaded from the Symantec Security Response Web site. To check the authenticity of the digital signature, follow these steps:
Go to http://www.wmsoftware.com/free.htm.
Download and save the Chktrust.exe file to the same folder where you saved FixBlast.exe (for example, C:Downloads).
Depending on your operating system, do one of the following:
Click Start, point to Programs, and then click MS-DOS Prompt.
Click Start, point to Programs, click Accessories, and then click Command Prompt.

Change to the folder where FixBlast.exe and Chktrust.exe are stored, and then type:

chktrust -i FixBlast.exe

For example, if you saved the file to the C:Downloads folder, you would enter the following commands:

cd
cd downloads
chktrust -i FixBlast.exe

Press Enter after typing each command. If the digital signature is valid, you will see the following:

Do you want to install and run ''W32.Blaster.Worm Removal Tool'' signed on 8/11/2003 7:14 PM and distributed by Symantec Corporation?

NOTES:
The date and time displayed in this dialog box will be adjusted to your time zone if your computer is not set to the Pacific time zone.
If you are using Daylight Saving time, the displayed time will be exactly one hour earlier.
If this dialog box does not appear, there are two possible reasons:
The tool is not from Symantec. Unless you are sure that the tool is legitimate and that you downloaded it from the legitimate Symantec Web site, do not run it.
The tool is from Symantec and is legitimate, however, your operating system was previously instructed to always trust content from Symantec. For information on this and how to view the confirmation dialog again, read the document ''How to restore the Publisher Authenticity confirmation dialog box.''

Click Yes to close the dialog box.

Type Exit, and then press Enter. This will close the MS-DOS session.

System Restore option in Windows Me/XP
Users of Windows Me and Windows XP should temporarily turn off System Restore. Windows Me/XP uses this feature, which is enabled by default, to restore the files on your computer in case they become damaged. If a virus, worm, or Trojan infects a computer, System Restore may back up the virus, worm, or Trojan on the computer.

Windows prevents outside programs, including antivirus programs, from modifying System Restore. Therefore, antivirus programs or tools cannot remove threats in the System Restore folder. As a result, System Restore has the potential of restoring an infected file on your computer, even after you have cleaned the infected files from all the other locations.

Also, in some cases, online scanners may detect a threat in the System Restore folder even though you scanned your computer with an antivirus program and did not find any infected files.

For instructions on how to turn off System Restore, read your Windows documentation, or one of the following articles:
How to disable or enable Windows Me System Restore.
How to turn off or turn on Windows XP System Restore.

For additional information and an alternative to disabling Windows Me System Restore, read the Microsoft Knowledge Base article, ''Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455).''

How to run the tool from a floppy disk
Insert the floppy disk, which contains the FixBlast.exe file, in the floppy disk drive.
Click Start, and then click Run.
Type the following:

a:FixBlast.exe

and then click OK:

NOTES:
There are no spaces in the command, a:FixBlast.exe.
If you are using Windows Me and System Restore remains enabled, you will see a warning message. You can choose to run the removal tool with the System Restore option enabled or exit the removal tool.

Click Start to begin the process, and then allow the tool to run.
If you are using Windows Me, then re-enable System Restore.
#29 Enemy aktív tag

2003-08-12 12:36:16 #29
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

Worm.Win32.Autorooter

This is multi-component Win32 worm-like package. It is designed to spread through local and global networks but spreading routines are not completed in current worm version.

The worm got its name from the text strings found in its main component:

rpc autorooter by ERIC
RPC autorooter
To spread the worm exploits MS Windows vulnerability in DCOM RPC service. This vulnerability is described in Microsoft Security Bulletin MS03-026.

The Package

The worm package is a Win32 SFX ZIP package (self-extracting package) about 114KB and contains 3 files:

rpc.exe - 41KB, main component (starter), detected as Worm.Win32.Autorooter
tftpd.exe - 144KB, legitimate FTP server
rpctest.exe - 95KB, exploit, detected as Exploit.Win32.DCom
When the SFX package is executed it extracts these three files from the root directory on the C: drive and runs the rpc.exe main component.
Main Component rpc.exe

The main components runs tftpd.exe and tries to download the lolx.exe from a remote site. The known lolx.exe file is a backdoor trojan and is detected as Backdoor.SdBot.gen.

The worm then searches for remote machines and tries to establish a connection on port 445. The IP addresses (a.b.c.d) for scanning are generated randomly on the following algorithm:

The 'a' value is selected from following list (all values are used):

24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128
The 'b' value is a random number from 0 up to 255. The 'c' and 'd' select any variant between 1 and 255.

For example, if the 'a' is 68, and the 'b' is 120 the worm will search for machines at all addresses in the range 68.120.0.1 - 68.120.255.255.

The worm searches for remote machines in these ranges, connects to any machines that it finds and sends the exploit code to it. To send the exploit the worm runs the rpctest.exe component. This component sends buffer-overrun request that starts command shell on port 57005 on vulnerable victim machine.

rpctest.exe component

This is the exploit tool. It contains the following text string:

USE THE FORZ LUKE!
tftd.exe component

This is a legitime HaneWin TFTP server. It is installed on port 69 by the Autorooter main component and downloads the backdoor component.

Summary

Even though this file package does not contain any auto-replication functions, we still consider it much to be more of a worm-type program rather than merely a backdoor or a hacktool.

We believe that this version is only a test version of a new worm that already contains enough functions to provide for self-replication. It is possible that the author aimed to set up a widely dispersed network of hacked computers for later use in any hacker or virus attacks.

Our recommendations

Apply the patch from Microsoft.
Block TCP ports 135, 139 and 445 in your local firewa
#28 Enemy aktív tag X-COM #24

2003-08-12 12:29:42 #28
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz X-COM #24 üzenetére

sorry de egy -két napja pakoltam fel mindent mert kicsit dülöngélt a rendszer . de szombati mentésem van imagebe. amivel nem voltam még a neten .. nekem öt perc és ismét jó a rendszer..
#27 lesaux veterán Szalma #26

2003-08-12 12:13:44 #27
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

lesaux

veterán

válasz Szalma #26 üzenetére

Á, már értem, én eddig a microsoftos linket néztem. Köszi.
#26 Szalma őstag lesaux #21

2003-08-12 12:01:19 #26
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz lesaux #21 üzenetére

Sophos! Link fent!

Szeretettel:
Szalma
#25 lesaux veterán Mazlee #23

2003-08-12 11:56:16 #25
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

lesaux

veterán

válasz Mazlee #23 üzenetére

Aha. Köszi.
#24 X-COM nagyúr Enemy #8

2003-08-12 11:55:21 #24
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

válasz Enemy #8 üzenetére

arra, hogy szinte minden számtech fórum evvel van tele
pedig az xp-ben már egy eccerű pici checkbox (tűzfal) megakadályozhatta volna, ill. az automatic updates pedig majd 1 hónapja feltelepítette volna patchet...
#23 Mazlee aktív tag lesaux #21

2003-08-12 11:50:23 #23
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Mazlee

aktív tag

válasz lesaux #21 üzenetére

az a link. azaz az ott lévő frissités annak a renccerproginak javitja ki a müködését. utána nem csordul túl a memo és jo lesz
#22 Kígyó senior tag

2003-08-12 11:49:54 #22
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Kígyó

senior tag

Asszem megoldódott. Telefonált haverom, hogy leszedett valami írtót és leszedte. Remélem nálam nincsen!
#21 lesaux veterán Szalma #17

2003-08-12 11:49:10 #21
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

lesaux

veterán

válasz Szalma #17 üzenetére

Eddig nem. Céges gép előtt ülök.
Tkp. mit kell csinálni? Mert az a microsoftos link nem öli le a vírust, csak befoltozza a lyukat, ugye?
Meg a 3 fájlt leirtani a c: gyökérből?
#20 Mazlee aktív tag RAM #18

2003-08-12 11:43:44 #20
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Mazlee

aktív tag

válasz RAM #18 üzenetére

nem. csak addig nem mentem netre :))

my comp/manage/alul valami system admin... nem emlékszem!
#19 Mazlee aktív tag Szalma #16

2003-08-12 11:42:52 #19
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Mazlee

aktív tag

válasz Szalma #16 üzenetére

volt disable meg enable meg automatic asszem. már nem emléxem.

azt tudom hogy leállitani a service-t nem ajánlották.

de mind1 megoldodott. kopp-kopp
#18 RAM őstag Mazlee #11

2003-08-12 11:41:30 #18
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

RAM

őstag

válasz Mazlee #11 üzenetére

1 perc alatt be tudtad állítani?

Hol is?

regedit ...
#17 Szalma őstag lesaux #15

2003-08-12 11:40:50 #17
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz lesaux #15 üzenetére

Az RPC hibának, amit a féreg kihasznál semmi köze a DC-hez. Úgyhogy nálad is van. :) Kellemes pucolást! A szofosz link tök jó a leszedéshez! (Már ha eddig nem oldottad meg...)

Szeretettel:
Szalma
#16 Szalma őstag Mazlee #11

2003-08-12 11:38:59 #16
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz Mazlee #11 üzenetére

Miért nem állítottad No Action-re a szerviz recovery-t? Úgy nem korlátoztad volna be magad kb. egy hétre a probléma megoldásában... :)

Szeretettel:
Szalma
#15 lesaux veterán

2003-08-12 11:37:32 #15
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

lesaux

veterán

Nekem asszem valami svchost-ot vagy mit állított le, pedig tegnap nem DC++oztam, és nem szoktam mindenféle vackokat futtatni.
Most akkor én is bekaptam a vírust?
#14 Szalma őstag Kígyó #12

2003-08-12 11:36:47 #14
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz Kígyó #12 üzenetére

Ja értem. A működési mechanizmus az azonos. A neveket pedig a vírus elemző laboratóriumok adják, ritkán az íróik. :)

Szeretettel:
Szalma
#13 Kígyó senior tag Enemy #2

2003-08-12 11:33:04 #13
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Kígyó

senior tag

válasz Enemy #2 üzenetére

Asszem ehhez kicsit gyenge az angolom. Most akkor mit kell csinálni?
#12 Kígyó senior tag Szalma #9

2003-08-12 11:28:42 #12
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Kígyó

senior tag

válasz Szalma #9 üzenetére

Olvasom én, de nem értem miért ua, ha más a neve. Nem igazán vagyok otthon a vírusokban, szóval nem vitatkozni akarok, csak nem értem.
#11 Mazlee aktív tag Enemy #10

2003-08-12 11:24:18 #11
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Mazlee

aktív tag

válasz Enemy #10 üzenetére

nekem is szivozott... na mondom hogy oldjam meg ha állandoan leállit.

gondoltam átállitom a leállási időt 1 percről 10000 percre :))

addig a neten utánajártam mi is ez és kijavitottam :)
#10 Enemy aktív tag

2003-08-12 11:21:12 #10
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

Tegnap este neteltem és a stabil rendszerem egyszercsak kiirta hogy le fog álni..
Aztán tényleg leált.És a hibaüzenet olyan servicere hivatkozott amit az ms is irt ezen a linken...
#9 Szalma őstag Kígyó #6

2003-08-12 11:20:23 #9
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz Kígyó #6 üzenetére

De, ez az a féreg. Olvasson körültekintőbben.

Szeretettel:
Szalma
#8 Enemy aktív tag X-COM #5

2003-08-12 11:19:16 #8
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

válasz X-COM #5 üzenetére

Mire gondolsz konkrétan?
#7 Szalma őstag X-COM #5

2003-08-12 11:17:32 #7
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Szalma

őstag

válasz X-COM #5 üzenetére

...jártasnak tűnő...

Bocs, de ez az igazság.

Szeretettel:
Szalma
#6 Kígyó senior tag detri #3

2003-08-12 11:16:44 #6
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Kígyó

senior tag

válasz detri #3 üzenetére

Ez nem az a vírus!
#5 X-COM nagyúr

2003-08-12 11:11:06 #5
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

X-COM

nagyúr

szinte hihetetlen, hogy ez a biztonsági rés ekkora galibát tudott okozni, informatikában jártasabb emberek között is :-/
#4 Enemy aktív tag

2003-08-12 10:49:40 #4
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

Ez az a virus ami magátol lekapcsolja az Xp mert leállít egy service-t?
#3 detri aktív tag

2003-08-12 10:35:37 #3
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

detri

aktív tag

Tegnap este óriási kavarás ment emiatt a vírus miatt, a DC++ -on legalábbis szerintem mindenki bekapta, akinek XP, vagy 2000 van. Én is. :)
Nem bánt, de nagyon bosszantó volt, állandóan újraindult miatta a rendszer.
Kis infó a vírusról:
http://www.virushirado.hu/virh-hirek.php?hmode=display&id=1610612926
Van itt egy microsoftos link is, le kell szedni egy patch-et, és az betömi ezt a biztonsági rést. Így hatástalan lesz, de azért persze vírosos marad a gép.
#2 Enemy aktív tag

2003-08-12 10:27:51 #2
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Enemy

aktív tag

http://www.sophos.com/virusinfo/analyses/w32blastera.html

itt a javítás leírása
#1 Kígyó senior tag

2003-08-12 10:20:58 #1
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Kígyó

senior tag

w32.blaster.worm
Mit csinál? Le lehet szedni anélkül, hogy sérülne a win, meg egyéb dolgok? Mivel?
Előre is köszi!

Aktív témák

Hirdetés

Aktív témák

Hirdetés

Új fizetett hirdetések

Üzleti előfizetők hirdetései

Állásajánlatok

Sitebuilder / Junior webalkalmazás fejlesztő

Cég: Promenade Publishing House Kft.

Város: Budapest

Részletek

Laptop Technikus & Szervizes

Cég: PCMENTOR SZERVIZ KFT.

Város: Budapest

Részletek