e320cdi Posted December 9, 2004 Author Share Posted December 9, 2004 c:\web.exe dokladnie, to własnie ten pliczek WEB.EXE sciaga i laduje SVCHOST.EXE zauwazlem to w procesach.... :twisted: U mnie na neo+ proces SCCHOST.exe jest niezbędny do połaczenia sie z siecią, więc najprawdopodobniej sie mylisz :) Quote Link to comment Share on other sites More sharing options...
malcom Posted December 9, 2004 Share Posted December 9, 2004 U mnie na neo+ proces SCCHOST.exe jest niezbędny do połaczenia sie z siecią, więc najprawdopodobniej sie mylisz :) SCCHOST.exe moze tak, ale mi chodzi o SVCHOST.EXE W Win98 ten proces wszytsko sypie, jest to jakis trojan ktory pobietra hasla, ale na Win98 blokuje polaczenie, tzn nie mozna uruchomic zadnego konkt\retnego polaczenia nawet polaczenia do netu... Ma taka nazwe,a by wygladal jak SCCHOST.exe, aby mniej swiadomi uzytkownicy przypadkiem go nie zabili... ale ja go ciagle zabijam ilekroc wchodze na Forum i troche nei to juz meczy :( Quote Link to comment Share on other sites More sharing options...
Renoirdaniel Posted December 11, 2004 Share Posted December 11, 2004 Slow kilka od profesjonalisty: Plik svchost to kontroler skryptów - użytkownicy Neo+ mogą mieć duży problem (bo na 50% bez tego pliku Neo+ im nie odpali). 75% trojanów atakuje poprzez ten plik, między innymi dlatego, że jest on odpowiedzialny za ActiveDesktop i wyświetlanie stron na pulpicie. Poza tym ten plik jest raczej nie ptorzebny do normalnej pracy (takmi się wydaje). W każdym bądź razie współczuje tym, którzy mają tego wirusa bo to prawdopodobnie EGStealer - kradnie kase z EG... ----------------------------------------- ten wirus to mutacja kilku trojanów - dlatego nie jest zawsze wykrywalny ja zawsze takich wirusow pozywam sie poprzez skasowanie pliku svchost a takze innych podejrzanych plikow - bardzo dziwne nazwy... do tego wchodze w msconfig oraz wylapuje stamtad dziwne pliki a co pozatym - niestety najczesniej trzeba zrobic: format c: :( --------------------------------------------------- nie znam żadnego innego sposobu - antywiry i wszelkie adware removery nei daja rady mozna jeszcze zrobic tak: zaisntalowac cala mase adware removerow - i skanowac nimi - jesli nawet one nie moga usunac wirusow to podejrzec w nich w jakich plikach wirusy siedza i del del del na tych plikach z tego co wiemjest bardzo male prawdopodobienstwo ze ten plik byl/jest na Forum.. Ale pozmianialem Pewne rzeczy zeby sie upewnic z bezpieczenstwem Frum hmm..moge tylko zyczyc udanego usuniecia wirusa Quote Link to comment Share on other sites More sharing options...
Anonymous Posted December 13, 2004 Share Posted December 13, 2004 Dziś odbierając wiadomosc prywatna na tym forum próbował mi się jakiś SYF (czytaj trojan) dostać do kompa... załuje że wywaliłem ekran ale McAfee zrobił swoje. Wiec z głębokim żalem zawiadamiam, że server dedykowany należałoby sobie sprawdzić. Moze tez być podczepiony pod któryś banner (bo jest on linkiem). Więcej świń nie zauwazyłem ;) Quote Link to comment Share on other sites More sharing options...
Anonymous Posted December 14, 2004 Share Posted December 14, 2004 robie BUMP celowo: http://www.hostburger.com/wirus_emoney.jpg To jest wirus który się ładuje na forum. Quote Link to comment Share on other sites More sharing options...
ivaho Posted December 14, 2004 Share Posted December 14, 2004 Potwierdzam ze wirus dalej wyskakuje. Quote Link to comment Share on other sites More sharing options...
malcom Posted December 14, 2004 Share Posted December 14, 2004 U mnie zawsze Kaspersky sie odzywa tylko jak wchodze na Strone główna! Oznajmia ze: wykryto zainfekowany obiekt w stronie Forum jaka pobral do Cache. Obiekt zainfekowany wirusem Trojan-Spy.HTML.Pcard.f Oraz pokazuje ostrzezenie: Uwaga wykryto niebezpieczny skrypt. Aplikacja Crazy Browswer Strona http:///www.forumem.../index.php zawietra niebezpieczny kod. Wykonanie tego skryptu zostalo automatycznie zablokowane. Wiec nadal siedzi cos na glownej, jakis podejrzany skrypt, ktory sciaga i pobiera tego trojana infekujacego SVCHOST.EXE Quote Link to comment Share on other sites More sharing options...
liga Posted December 14, 2004 Share Posted December 14, 2004 u mnie identycznie to samo. a to wnerwia troche Quote Link to comment Share on other sites More sharing options...
Bartu Posted December 14, 2004 Share Posted December 14, 2004 Też mam :D Zamknąć forum :D :D :) Quote Link to comment Share on other sites More sharing options...
c4ash Posted December 14, 2004 Share Posted December 14, 2004 Jak otwieram forum IE to kasperski mi rowniez zgłasza problem. Ale jak kozystam z mozilli to juz jest cisza i spokoj... Wiec polecam mozille Quote Link to comment Share on other sites More sharing options...
Renoirdaniel Posted December 14, 2004 Share Posted December 14, 2004 staramy sie jak mozemy - ale to nie takie latwe :( Quote Link to comment Share on other sites More sharing options...
jn Posted December 15, 2004 Share Posted December 15, 2004 No to cos odemnie. Wirus znajduje sie pod adresem C:\Windows\System32\Mset Mozna tam wejs wklejajac ten adres w okienko, normalnie nie widac. Co robi wirus: - kradnie wszystkie hasla, do kazdej firmy, do e golda itp. (mam nadzieje ze do Mbanku nie. - tworzy pliki _pass.txt i _key.txt (sa w tym folderze) mozecie tam podziwiac wszystkie wasze hasla w jednym pliku TXT - pliki TXT wysyla na serwer hakera - haker kradnie kase Wiecej informacji: http://www.kaspersky.pl/about.html?s=news_warnings&cat=4&newsid=699 Niestety, nie wiem czy haker ma juz moje hasla, ale w najblizszym czasie robie format i zegnam to forum niestety, nie bede ryzykowal, chyba ze cos sie wyjasni. Quote Link to comment Share on other sites More sharing options...
Prometeusz Posted December 15, 2004 Share Posted December 15, 2004 No dobra odezwę sie i powiem Wam co i jak. Wirus wcale nie siedzi na forum. Wirusa macie u siebie zainstalowanego (a dokłądniej jakaś jego mutację), ta mutacja instlauje się odpowiednio tworząc plik svchost (zainfekowany) lub jakikolwiek inny. Wirus najczęściej aktywnia się po wejsciu na stronę forum z prostego względu - bardzo dużo na tej stronie jest słów kluczowych (egold, moneybookers, cash) itp... Wirusy tego typu (trojany) są tak rozganizowane by podejrzeć wszystkie hasła itp... Nie mówcie, że ten wirus rezyduje na forum bo gdyby tak było to już danwo bym go złapał (mam specjalnie spreparowanego windowsa do sprawdzania wirusów - i na nim ten wirus się nie uaktywnił). Możecie mówić, że to na tym lub innym forum go złapaliście, ale rozsiewacie wtedy tylko i wyłącznie plotki. Aha, kaspersky i inne antywirusy potrafią się mylić - jeśli system zostałzainfekowany to każdy antywirus będzie podawał błędne informacje o miejscu rezydowania wirusa. Tego wirusa najprawdopodbniej złapaliście na stronie jednego polaka, który ostatnio w wielu firmach puszczał reklamy swojej stronki - przykre, że nasz rodak chce okradać innych. Więc po raz kolejny na forum nie ma wirusa. Cały serwer został właśnie przetrzepany, wszystkei grafiki zgrane i sprawdzone, dodatkowo sprawdzone odnośniki zewnętrzne. - wszystko czyste. Aha, jeszcze może Wam wskazywać wirusa na "forum" ponieważ po zapakowaniu storny do cache'a w IE, operze lub innych - wirus siętam dokleja. Wy wchodzicie ponownie na stronę łówną - żadnych zmian to odczyt strony z cache'u, a ta w cache'u jest już zawirusowana. Jest to stara sztuczka do okradania ludzi - poprzez dziurawy cache można wyciągnąć wszystko co się chce. VCF ma szczęście ... ale to tylko dlatego, ze domena na której stoi to szuwi a nie money, cash lub coś podobnego - po prostu wirus nie infekuje cache'u od VCF bo nie wydaje nmu się by na stronie Szuwiego było coś interesującego - zapewne gdyby VCF miało domenę np. virtualcash to wirus chętnie by je "odwiedzał"... Quote Link to comment Share on other sites More sharing options...
jn Posted December 16, 2004 Share Posted December 16, 2004 Aha, a wiec to tak, a jak uchronic sie przed tym wirusem ? Chodzi mi o pakiet konkretnych programow, bo dzisiaj zrobie format a jutro znow bede mial tego wirusa ;-( I jeszcze jedno pytanie, czy wirus potrafi ukrasc haslo z MBanku ? Quote Link to comment Share on other sites More sharing options...
codi Posted December 16, 2004 Share Posted December 16, 2004 Cholera, nieciekawie :| Nie mam jednak na dysku plikow web.exe i katalogu Mset... Wirus jest z jakiejs reklamowanej strony? Hmmm, Thanatos chyba sie nie bawi w gptr... Quote Link to comment Share on other sites More sharing options...
Prometeusz Posted December 16, 2004 Share Posted December 16, 2004 Jak sie uchronic... Jesli przeisntalowujesz system to ukryj wszystkie partycje poza ta, na ktorej instalujesz system...zainstaluj windowsa (przy odlaczonym kabelku od sieci)...zainstaluj wszysktie pot5rzebne sterowniki....podlacz kabelek net, sciagnij dwa natywiry (nap oczatek) - najlepeij jakies darmowe monitory....po zaisntalowaniu antywirow zainstaluj sobie wszystkie uaktualnienia windowsa ze storny windows update potem ladny scandisk, defragmentacja i systemik czysty....potem mozesz z jednego antywira zrezygnowac... wreszcie mozna odkryc pozostale partycje, a po ponownyum uruchomienie przeskanowac je dokladnie antywirem (bo czesto wirusy zaszywaja sie na innych partycjach).... pracy troche jest ale dobrze wykonana to spokoj na dlugi czas.... aha - jak zniknie z paska ikonka antywira to od razu nalezy zainstalwoac inne antywirusy i leczyc system... Quote Link to comment Share on other sites More sharing options...
ivaho Posted December 16, 2004 Share Posted December 16, 2004 Jak sie uchronic... Jesli przeisntalowujesz system to ukryj wszystkie partycje poza ta, na ktorej instalujesz system...zainstaluj windowsa (przy odlaczonym kabelku od sieci)...zainstaluj wszysktie pot5rzebne sterowniki....podlacz kabelek net, sciagnij dwa natywiry (nap oczatek) - najlepeij jakies darmowe monitory....po zaisntalowaniu antywirow zainstaluj sobie wszystkie uaktualnienia windowsa ze storny windows update potem ladny scandisk, defragmentacja i systemik czysty....potem mozesz z jednego antywira zrezygnowac... wreszcie mozna odkryc pozostale partycje, a po ponownyum uruchomienie przeskanowac je dokladnie antywirem (bo czesto wirusy zaszywaja sie na innych partycjach).... pracy troche jest ale dobrze wykonana to spokoj na dlugi czas.... aha - jak zniknie z paska ikonka antywira to od razu nalezy zainstalwoac inne antywirusy i leczyc system... Dziwnie piszesz, w taki sposob mozesz zalatwic kazdy problem, format to ostatecznosc, nie bede formatowal dysku bo mam wirusa :evil: Lepiej odnalesc konkretna nazwe tego wirusa, poszukac latki, wykasowac rejestry, zablokowac svchosty,... i mozna by jeszcze wymyslac. Na Szuwi wirusa nie ma bo sie nazywa szuwi? To by sie ni zgadzalo z tym co napisales: bardzo dużo na tej stronie jest słów kluczowych Na szuwi Słow kluczowych naprawde nie brakuje... W getPaid forum tez powinien w takim razie wirus sie uaktywnic, tam jeszcze jest wiecej "slow kluczowych" a i nazwa forum nie obca powinna byc wirusowi. Quote Link to comment Share on other sites More sharing options...
Anonymous Posted December 17, 2004 Share Posted December 17, 2004 proponuje jeszcze zobaczyć kiedy wirus się pojawi i jaki wtedy banner się wyswietla :) może coś się podczepiło pod zdalny banner :? Quote Link to comment Share on other sites More sharing options...
ivaho Posted December 17, 2004 Share Posted December 17, 2004 Chyba w nocy nastapila jakas pozytywna zmiana, bo wirus przestal sie uaktywniac. Mam nadzieje ze to stala tendencja. Pozdrawiam :D Quote Link to comment Share on other sites More sharing options...
magbag Posted December 17, 2004 Share Posted December 17, 2004 Tak - wirus został wykryty i zutylizowany. Teraz usiłujemy ustalić, kto podrzucił taki "prezent" wykorzystując lukę w skrypcie i mam nadzieję, że to się uda. Tzn. usiłują ustalić Ci co się znają - dla mnie to czarna magia ;). Quote Link to comment Share on other sites More sharing options...
szuwi Posted December 17, 2004 Share Posted December 17, 2004 szuwi ma domenę szuwi, jednak nie należy zapominać o tytule samej strony gdzie CASH jest rzeczą podstawową, nie mówiąc już o poruszanych tu przez ivaho słowach kluczowych, tematach topiców czy nawet alisu pod jakim forum istnieje (http:\\http://www.forum.virtual-cash.prv.pl) Trudno mi uznać wyznania annaela, ale w sumie to nie takie cuda już widziałem, więc i takich odrzucić nie mogę... Quote Link to comment Share on other sites More sharing options...
Renoirdaniel Posted December 17, 2004 Share Posted December 17, 2004 tak wiec pozbylismy sie wirusa... :D wszystkich uzytkownikow przpraszam ze mogli zarazic sie u nas :( ale podlos ludzka nie zna granic :/ Quote Link to comment Share on other sites More sharing options...
Anonymous Posted December 17, 2004 Share Posted December 17, 2004 renoir - dasz mi jakies szczegóły na PW :?: chciałbym sie też zabezpieczyć an przyszłosć :D Quote Link to comment Share on other sites More sharing options...
thaarin Posted December 25, 2004 Share Posted December 25, 2004 Sorry ze odgrzebuje temat, ale moze podalibyscie szczegoly jaki blad (ewentulanie mod do forum) phpbb umozliwil wgranie wirusa. Albo moze link do jakiegos tematu na forum phpbb.pl (bo pewnie tam ktos o tym pisal). Ewentulanie prosze o PW. Sam ma postawione forum i sie obawiam :) Quote Link to comment Share on other sites More sharing options...
thaarin Posted December 29, 2004 Share Posted December 29, 2004 Coz, nie otrzymalem zadnej odpowiedzi na moje powyzsze pytanie, ale mniejsza o to. Mam nadzieje, ze zupgreatowaliscie forum i modul php. Bo jak zapewne wiecie ostatnimi czasy szaleje kolejna, zmutowana wersja wirusa Santy, atakujaca fora phpbb. A niestety na zmutowana wersje nie pomoga usuniecie krytycznej luki, czyli zamiana htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']) na htmlspecialchars($HTTP_GET_VARS['highlight']) w viewtopicu ani żadne upgratey do wersji 2.0.11 :( Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.