ORG

A wiec mam taakie problemy... weszlem przez przypadek na jakas stronke porno(gdy szukalem cracka do all seeing eye) i NAV zaczoł mi wywlac bledy o jakis trojanach. Zablokowałem wszytskie i looz... ale teraz dzieje mi sie cos dziwnego...
1) co chwile gg mi wywala... ;/ nikt znajomy sie nie bawi jezeli mam troja bo to byla jakas chujowa zagraniczna i przypadkowa strona...

2) Download Accelerator plus jako ze ma opcje integracj z przegladarka to chce mi na dysk jakies dziwne programy zapisywac.... za @#$% sie tego nei da wylaczyc ;/

3) wywala mi błąd jak bym miał blastera ;/ zaistanowałem ponownie łatke WindowsXP-KB823980-x86-PLK i przeskanowałem FixBlast\'em koma ale nei wykrywa bastera ani nic a wyskakuje mi taki komuniakt:
[img]republika.pl/tychy_ekologia/dupa.JPG [/img]

przeskanuj jakims antywirem, np. panda wirusy.wp.pl

www.frazpc.pl/komentarz/8043 sporobuj tego, bo to faktycznie wyglada na blastera, chociaz masz antyvira.
Jesli to nie pomoze to zrob tak:

START - URUCHOM, wpisz: msconfig.

Przejdz do ostatniej zakladki: URUCHAMIANIE, i poszukaj tej @#$% \"lsass.exe\" i jak jest to odchacz ja.

Potem START - URUCHOM,wpisz : regedit. i CTRL+F i szukaj: lsass. szukaj do bolu i wypierdole, kazdy klucz, ktory znajdzie z tym badziewiem.

Potem jeszcze przeskanuj OnLine skaner.mks.com.pl/ dla pewnosci.

Jak to wszystko nie pomoze, no to nie wiem.

GL.
EDIT: momen, moment przeciez to sasser :))) hehehe, sekunda szukam antidotum zaraz podam potrzebne linki.........
juz mam: www.frazpc.pl/komentarz/10590
EDIT: wszystkie linki sa sprawne, sprawdzalem, sciagaj i lataj :)

pewnie jakiś wirus :D

to sie freak-nabijaczu niecny napomagales :P
EDIT: melduj pozniej GoLY co wywalczyles.

ds10.uni.lodz.pl/corvus/worm%20oli
jak by co, to tam masz wiele informacji i narzędzi

to sasser, sciagnij z www microsoftu latke i na www.gdata.pl masz program do usuniecia wira

Zrob CTRL+ALT+DELETE i napisz mi jaki masz proces uruchomiony najwiecej. Jezeli _up to masz sassera. avserve2 - sasser.b, netskyave - netsky.d. Ale teraz wyszlo pelno nowych wirusow najnowszy z tego typu to KORGO sciagnaj poprawki i po klopocie i recznie musisz usunac wal do mnie na GG w profilu mam to Ci pomoge bo sie na tym troszku znam :) Pozdro
www.pogotowie.pspolska.pl

EDIT: a moze to ten nowy wirus co sciaga na dysk malware? :] hehe musisz napisac procesy jakie masz i co masz w RUN w rejestrze to dopiero Ci powiem co masz...

Dziekuje za taki odzew :) a wiec tak... Przeskanowałem czy nie mam sassera i nic nie znalazlo... gg mi sie juz nie wylacza, komp tez nie (znaczy dzis sie jeszcze nei wylaczyl :P) Ale DAP znow mi chce sciagac na dysk jakies gowna ;/ zrobilem screena tez... nie wiem co to ;/ ahhhh i jeszcze gdy wyskoczylo sciganie to rozlaczylo mnie w tym momencie z ircem (nie wiem czy ma to jakis zwiazek).
[img]republika.pl/tychy_ekologia/dupa2.JPG [/img]

[big]www.rpc.prv.pl[/big] ELO

baksiu dziekuje :* hehe poczytałem i stwierdzam ze sasser poszedł wpiz.du :DDDD nie ma zadnych sladów juz po nim :P musialem go wywalic :) ale nadal pozostaje kwestia wlasnie tego DAPa ;/

Oj chyba sie nad wami zlituje i powiem jak zabezpieczyc sie przed takimi dziwnymi niespodziankami :)
Wystarczy deaktywowac uslugi DCOM i po sprawie.
I tak z nich nie korzystacie, a zostawiacie ogromna dziure majac to otwarte. Blastery, Sasery i inne dziadostwa korzystajace z tej furtki.

usługi d-co?

a tak na serio: sam stwierdziłeś, że z tego nie korzystam, więc nie dziw, że nie za bardzo wiem co to i jak się to ustrojstwo wyłącza.

chyba już pora spać

No i nowy wirus znowu w akcji :) Plexus.A i Plexus.B - pobiera scierwa z netu lsass i rpc :) A moze to masz czy jak ? :>

na dysku jakoś mnie się nie czepiają takie śmiecie, może już nikt nie pisze wirusów pod 98, nawet ostatnio już dawno strona startowa mi się nie zmieniała na jakieś badziewia, ale dziwi mnie moja skrzynka pocztowa, dostaję dziennie po kilkanaście maili od ludzi, których nie znam z różnymi plikami cpl oraz exe. myslałem, że to normalka, mają ludzie wiry, to się rozsyłają po świecie. żadnego z nich nie odpalałem (tzn. tych plików, nawet na dysk nie ściągałem, tylko od razu delejt) a ostatnio zacząłem dostawać komunikaty od serwerów, że wiadomośc ode mnie do osoby, o której w życiu nie słyszałem nie została doręczona, bo... tu jakieś śmiecie, niewiele z tego wynika. dziwi mnie, to bo nie używam żadnego programu typu outlook a na dysku antywir nic nie znajduje. czyżby na serwach tlena coś krążyło?

krązy krazy. mam taka sama sytuacje w domu. tez mam konto na tlenie i takie wiadomosci przychodza. mysle ze jak sie te robale rozsiewaja to uzywaja znalezionych w kompie adresow mailowych na wszystkie mozliwe sposoby. pełno tego scierwa teraz. masakra. u mnie w pracy tak jednego kompa rozłozylo ze system lezy i kwiczy, bylo ok 200 wirusów!!! a szef nie chce dac zrobic formata. wyskakuja bledy systemowe ze nie moze znalezc np pliku rudll32.exe i inne takie, mimo ze sa na swoim miejscu i anty vir (coprawda online) nie wykrywa zadnych zainfekowanych plikow. pewnie sa uszkodzone? dziala tylko office, outlook i ie. da sie jakos naprawic ten system bez formatowania?

ja tez mam na tlenie poczte i nic nie przychodzi od czasu do czasu tylko reklama, 1 reklama na jakich 1 tydzien

no właśnie, outlook. to bydlątko jest azawyczaj powodem takich problemów (no chyba, że ktoś dostając jakiegoś dziwnego maila odpala *.exe z załącznika
ciekawostka: dostałem przed chwilą takiego maila:
> Od: Mail Delivery System
>
> Do: mój_adres poczty@tlen.pl
>
> Kopia do:
>
> Temat: Mail delivery failed: returning message to sender
>
> Data: 9 czerwca 2004 09:46
>
> [do książki] [zablokuj]
>
>
>
>
> [do druku] [z nagłówkami]
>
>
>
> This message was created automatically by mail delivery software.
>
>
> A message that you sent could not be delivered to one or more of its
>
> recipients. This is a permanent error. The following address(es) failed:
>
>
> nieważne_czyj adres@quake.com.pl
>
> This message has been rejected because it has
>
> a potentially executable attachment \"MoreInfo.cpl\"
>
> This form of attachment has been used by
>
> recent viruses or other malware.
>
> If you meant to send this file then please
>
> package it up as a zip file and resend it.
>
>
> ------ This is a copy of the message, including all the headers. ------
>
>
> Return-path:
>
> Received: from [195.82.184.195] (helo=th0rax.com)
>
> by stuff2.livenet.pl with smtp (Exim 4.34; FreeBSD)
>
> id 1BXxnK-000EXO-N0
>
> for caban@quake.com.pl; Wed, 09 Jun 2004 09:46:47 +0200
>
> Date: Wed, 09 Jun 2004 09:46:28 +0100
>
> To: \"Caban\"
>
> From: \"Kymyl\"
>
> Subject: Fax Message Received
>
> Message-ID:
>
> MIME-Version: 1.0
>
> Content-Type: multipart/mixed;
>
> boundary=\"--------jwhlumgblvsdvumnnsxa\"
>
>
> ----------jwhlumgblvsdvumnnsxa
>
> Content-Type: text/html; charset=\"us-ascii\"
>
> Content-Transfer-Encoding: 7bit
>
>
>
>
>
>
>
>
>
> ----------jwhlumgblvsdvumnnsxa
>
> Content-Type: application/octet-stream; name=\"MoreInfo.cpl\"
>
> Content-Transfer-Encoding: base64
>
> Content-Disposition: attachment; filename=\"MoreInfo.cpl\"
>
>
> TVoAAAEAAAACAAAA//8AAEAAAAAAAAAAQAAAAAAAAAC0TM0hAAAAAAAAAAAAAAAAAAAAAAAA
>
> AAAAAAAAQAAAAFBFAABMAQMA7cGQQAAAAAAAAAAA4AAOIQsBBQwABgAAAAIAAAAAAAAQEQAA
>
> ABAAAAAgAAAAAAAQABAAAAACAAAEAAAAAAAAAAQAAAAAAAAAcH4AAAACAAAAAAAAAgAAAAAA
>
> EAAAEAAAAAAQAAAQAAAAAAAAEAAAAAAAAAAAAAAAFBAAADwAAAAAAAAAAAAAAAAAAAAAAAAA

dalej sterta podobnych krzaków jak powyższych kilka linijek, czyli wspomniany zawirusowany plik MoreInfo.cpl (.cpl - control panel, może nieco namieszać)
ale po co wysyłać cały ten plik komukolwiek, skoro to wirus?

bo ourtlook a dokładniej visual basic potrafi go sobie z takiego maila zagrać i uruchomić. ale dlaczego demon poczty z jakiegoś serwera miałby mi takie zgniłe jajo podsyłać? i jakim cudem ja wysłałem takiego maila do kogoś skoro nie mam na kompie wirusa? i dlaczego była analizowana przez jakiś dziwny serwer po drodze? chyba powinna być otwierana tylko na serwerze docelowym
proste: nie była, bo jej nie wysłałem. ta wiadomośc, to fejk. nie pochodzi od demona poczty, tylko ktoś ją spreparował w nadziei, że mój outlook ją otworzy a poza tym takie maile każdy otwiera, bo chce wiedzieć która to wiadomość nie mogła zostać dostarczona (a nuż to coś ważnego nie doszło i trzeba jeszzce raz wysłać) zresztą wystarczy poinstruować zainfekowaną maszynę i może takie wiadomości rozsyłać gdzie popadnie.
głowy sobie uciąć nie dam za poprawność tego wywodu, ale wszelkie znaki na Ziemi i niebie na to wskazują. trzebaby poczekać na Yabolla, to będzie wiadomo.

Tez tak mysle, goly zmien dapa na flashget.

MoreInfo.cpl - Worm.Bagle.Z :> Cerfes juz wiesz co masz na kompie za swinstwo :P

> Tez tak mysle, goly zmien dapa na flashget.

flashget, albo netTransport- przynajmniej stablilizuje transwer.

transfer na niektórych programach skacze na innych nie, ale to nie jest zaleta/wada programu, tylko sposobu jego obliczania. ilość danych ściągniętych w jednostce czasu - jeśli weźmiemy wszystkie pakiety danego pliku i poczielimy to przez czas w jakim je ściągnęliśmy będziemy mieli ładny stały transfer a jeśli weźmiemy pod uwagę tylko dane ściągnięte np. w ciągu ostatnich 5 sekund transfer będzie skakał, ale plik ściągnie się tak samo szybko.
ale rację Aurox (elo ziąm), że ten net transport dobry jest. nie sypie mi się jak flasget, jest darmowy i po polsku.

ściągnąć można z ds10.uni.lodz.pl/corvus/NetTransport.rarmojego serwera

FlashGet jest lepszy bo ma takie hipnotyzujące kropeczki w ktore wpatruje sie godzinami.

mówisz o takich jak w de[b]frag[/b]mentacji dysku? net look takie ma i też są [green]h[/color][red]i[/color][yellow]p[/color][blue]n[/color][fiolet]o[/color][pink]o[/color][white]t[/color][#ED8311#]y[/color][green]z[/color][red]u[/color][yellow][/color][blue]j[/color][fiolet]ą[/color][fiolet]c[/color][pink]e[/color]

W takim razie ja też mam pytanko :P Mam tego lsass.exe w procesach ( to te po wciśnieci ALT + CRTL + DEL) tyle ze neimoge go zamknąć bo to \"Krytyczny proces systemu windows\" a wspomniany wczesniej pomysł z wyłączeniem go w msconfigu odpada bo go poprostu tam niema, chyba ze pod zmienioną nazwą. Z rejestru wywalenie wpisów nić niedało bo po restarcie wpisu spowrotem w czarodziejski sposób powróciły. I wyskakiwał mi ten błąd co u załozyciela tematu, i wyłaczał sie komp po 60 sekindach, problem zalatwil Norton Internet Security, a dokładniej mówiąć fire wall w nim zawarty.

Tyle że to nie eliminuje problemu. Lsass jak był tak jest, a z momentem wyłączenia firewalla mam 100 % ( i to potwierdzozne testami ), że w przeciagu 2 minut Zarzadzanie NT zarządza restart systemu i znowu tylko patrzeć na odlicznie tych nieszczesnych 60 sec. A i jeszcez zaznacze bo to może być ważne: Problem pojawia się dopiero po połączeniu z internetem ( mam neostrade i jak zapewne wiekszość wie, Trzba się łączyć), Dopuki nieuzyskam połaczenia z world wilde web, nic się neidzieje, a w momencie kiedy firewall jest zdezaktywowany i uzyskam połączenie majpierw wyskakuje raport, że lsass.exe wykonał neiprawidłową costam cośtam i można wysłać info do Microsoftu, a chwile potym raporcie Wspomniane Zarzadzanie NT zaczyna szaleć.

Jeśli ktoś potrafi mi udzielić pomocy, bardzo bym o takową prsił, byle nei texty typu wirus (chamkie nabijanie postów). Proszę o Konkrety: wtf is that ?? Jak mam sie tego definitywnie pozbyć ? i Jak się przedtym zabezpieczyć ??
Edit: AAAAAAAA, zapomniałem dodać że po skanowaniu Nortonem 2004 ktury jest zawarty w pakiecie NIS, wykrywa mi pare zagrożeń typu adware (wtf?) i niemoże ich usuną bo ma ograniczenie dostepu do powyższych zagrożeń...
Z góry dziękuje....