Od zastite imam istalirano Comodo-v firewall, defence+ i sandbox, Avast 4.8 antivirus (zbog srpskog jezika), Spybot, Ad-Aware. Svi imaju najnovije definicije.
Reklo bi se da ništa ne može da uđe u sistem... Maločas mi Comodo firewall prijavio da ne može da ukloni malware pretnju C:/OptionalComponents/lsass.exe a ime joj je dao OnlineLookupVerdict. Comodo je doduše uspeo da je blokira kada je htela da izađe na net.
Naravno folder se ne vidi iako mi je uključena opcija hidden u winu inače bi bio ekspresno obrisan. U C mi se nalazi skriveni folder VirtualRoot a ne znam šta će tamo, pošto na kompu koji je down mašina nemam intalirano ništa kompikovanije od Daemon tools i Ofiss-a.
Skenirala sa Avastom, Spybot-om i Ad-Aware-om i ništa nisu našli. Šta da radim?
Edit
Što se wina tiče nemam nikakav update posle SP3 za XP
ZIVOTNA JE IRONIJA KADA TI CEO ZIVOT SOLE PAMET,A UMRES OD SECERA
:: Od zastite imam istalirano Comodo-v firewall, defence+ i sandbox, Avast 4.8 antivirus (zbog srpskog jezika), Spybot, Ad-Aware. Svi imaju najnovije definicije. :: :: Reklo bi se da ništa ne može da uđe u sistem... Maločas mi Comodo firewall prijavio da ne može da ukloni malware pretnju C:/OptionalComponents/lsass.exe a ime joj je dao OnlineLookupVerdict. Comodo je doduše uspeo da je blokira kada je htela da izađe na net :: :: Naravno folder se ne vidi iako mi je uključena opcija hidden u winu inače bi bio ekspresno obrisan. U C mi se nalazi skriveni folder VirtualRoot a ne znam šta će tamo, pošto na kompu koji je down mašina nemam intalirano ništa kompikovanije od Daemon tools i Ofiss-a :: :: Skenirala sa Avastom, Spybot-om i Ad-Aware-om i ništa nisu našli. Šta da radim :: :: Edi :: :: Što se wina tiče nemam nikakav update posle SP3 za X ::
Током 2004. године Микрософт је пласирао редовну закрпу за ХР и 2000 оперативне системе. Убрзо затим, појавио се нови црв (енгл. worm) који је искористио пропусте у тој закрпи и узроковао слом компјутерских система новинске агенције АФП, битанске обалске страже, европске комисије, Голдман Сакс банке и многих других за кратко време.
Црв је продирао у рачунар са интернета, без учешћа корисника и манифестовао се блокирањем сасвим нормалног извршног програма у ОС под називом `lsass.exe` (Local Security Authority Subsystem Service). Извршни фајл црва се лажно представљао као `lsass.exe` или `Isass.exe`, али на погрешном месту у систему, због чега је добио назив `Sasser` црв. Уколико је пријављен фајл `lsass.exe` било где ван Windows фолдера, у питању је инфекција, без дилеме. У самом Windows фолдеру може да се налази нормално само на три места: - service pack folder - system32 folder - SoftwareDistribution folder
Свака друга локација је инфекција. Приликом активације овог напасника, корисник би на екрану добио поруку да ће се компјутер угасити за 60 секунди уз одбројавање на екрану. Онда следи рестарт и тако у недоглед.
Убрзо је Микрософт избацио закрпу која поправља грешку у оквиру `lsass.exe` програма и та се закрпа налази у СП 3 за ХР и свим новијим СП за све ОС из Микрософта. Проблем је што закрпа не спречава улазак црва у рачунар већ он када уђе генерише огроман број случајних адреса ради даљег ширења по интернету, чиме драматично успорава рад рачунара, чак иако не дира `lsass.exe` извршни програм.
Када `Sasser` уђе у рачунар, учинити следеће: 1. reboot system 2. log in as administrator 3. download `W32.Sasser Removal Tool` from http://securityresponse.symantec.com/avcenter/FxSasser.exe. 4. update virus definitions on your AV 5. disconnect from internet 6. close all the running programs 7. disable System Restore 8. run `W32.Sasser Removal Tool` 9. restart the computer 10. run the removal tool again to ensure that the system is clean 11. re-enable System Restore. 12. boot scan with Avast
Поздрав.
У политици, лако је водити рачуна о интересу богатих.
`Мрзим људе који цитирају сами себе` рекао је један паметан човек, али ипак:
`...antivirusni program `na brzinu` pregleda sve podatke koji dolaze u racunar i uporedjuje ih sa svojom bazom podataka. Ukoliko prepozna napast, javlja korisniku i pita: `Sta da se cini?` (repair / quarantine / delete / ignore). Ovaj “aktivni” nacin zastite naziva se ProActive i nije NIKADA potpuno efikasan. Razliciti programi imaju efikasnost od 5-75% u ovom rezimu rada...`
`...I pored aktivnosti firewall-a i AV programa, uvek ce odredjeni broj napasnika da prodre u racunar. Zbog toga, svi proizvodjaci zastitnog softvera preporucuju periodicno skeniranje celog sistema istim antivirusom. Ova vrsta ciscenja racunara “po zahtevu” (engl. on demand) je uglavnom efikasna i krece se za poznatije AV programe od 90 do 99%...`
Дакле, УВЕК остаје 1% шансе да нешто продре у рачунар и у њему ровари бар неко време.
Иначе, дотичног црва направио је неки 18-огодишњи Швабо, студент информатике. Ухапшен је и суђен већ месец дана након куршлуса на интернету. Неко га је пријавио полицији за награду од 250 000 долара.
У политици, лако је водити рачуна о интересу богатих.
Данас су рачунари доста моћнији него 2004. тако да је врло могуће да нећеш осетити промене у раду, систем се неће рестартовати јер је већ `закрпљен`, али црв ће упорно покушавати да продре на интернет генеришући нове ИП адресе и терајући Комодо да те изнова обавештава о истом проблему.
У политици, лако је водити рачуна о интересу богатих.
Re: Да не буде забуне>>>Da stvarno ne bude zabune...
14.07.2010. 01:43
#230438
status: user broj poruka: 10997
Savremeni av programi NISU svedeni na konsultovanje sa svojim definition arhivama, nego su u stanju da prepoznaju virusnu aktivnost samu po sebi s tim sto (u slucaju da nemaju opis trenutno aktivnog virusa) ne znaju kako da postupe s njime izuzev da ga obrisu (ili smeste u karantin). @za JovankuO=skini i instalisi Unlocker, i pokusaj da obrises ceo folder, ako si SIGURNA da ti ne treba (VirtualRoot).
:: Данас су рачунари доста моћнији него 2004. тако да је врло могуће да нећеш осетити промене у раду, систем се неће рестартовати јер је већ `закрпљен`, али црв ће упорно покушавати да продре на интернет генеришући нове ИП адресе и терајући Комодо да те изнова обавештава о истом проблему :: :: :: У политици, лако је водити рачуна о интересу богатих. :: ::
`...Upravo da bi se pokusao resiti problem `jos uvek neregistrovanih infekcija`, AV programi imaju poseban vid aktivnosti nazvan `heuristcis`. Naime, u programu su zabelezene `vrste kodova` (ne znam bolji izraz na srpskom) koji mogu odgovarati infekcijama.
Ne mogu sada da pronadjem, ali bio je negde na netu i uporedni test AV programa u prepoznavanju napasti koje nemaju u svojoj bazi definicija. Uspesnost je bila max do 25%. Problem je u tome sto uspesnija primena `heuristike` u pronalazenju gamadi, direktno vodi do veceg broja lazno-pozitvnih rezultata...`
У политици, лако је водити рачуна о интересу богатих.
Re: Тортојед, сад ме изазиваш>Ne izazivam, nego dopunjujem.
14.07.2010. 01:50
#230440
status: user broj poruka: 10997
O tome sam i govorio - virusna aktivnost kao genericki proces. Dakle: heuristic. Naravno da uspesnost nije 100% (i hakeri nesto znaju!).
:: http://www.pcberza.rs/forum/topic.php?topid=11118&forid=22&katid= :: :: `...Upravo da bi se pokusao resiti problem `jos uvek neregistrovanih infekcija`, AV programi imaju poseban vid aktivnosti nazvan `heuristcis`. Naime, u programu su zabelezene `vrste kodova` (ne znam bolji izraz na srpskom) koji mogu odgovarati infekcijama. :: :: Ne mogu sada da pronadjem, ali bio je negde na netu i uporedni test AV programa u prepoznavanju napasti koje nemaju u svojoj bazi definicija. Uspesnost je bila max do 25%. Problem je u tome sto uspesnija primena `heuristike` u pronalazenju gamadi, direktno vodi do veceg broja lazno-pozitvnih rezultata... :: :: :: У политици, лако је водити рачуна о интересу богатих. :: ::
Evo već par sati se patim sa tim virusom Sasserom i ništa ne uradih. Par skenova i restarti nisu pomogli tom Symantec-ovom g... da nađe virus koji sam ja našla. Pretpostavljam da nije mogao da ga nađe zato što se ovaj pretstavlja kao FOLDER, čak i ikonica odgovara.
U startup se ubacio, pogledala sam malo bolje C:/configuration/configuration.exe
Zarazila sam se preko tuđeg fleša, bio se pokrenuo video.exe komodo ga kao blokirao ali je ipak uspeo da uđe.
Jedino što mi još nisam pada na pamet je boot scan, to ću večeras jer traje do zla boga dugo pošto je mašina stara 4 god.
Probaj spyware doctor ako već nisi, najdetaljniji je od tih univerzalnih antispyware programa, skenira i viruse odnedavno o jednom trošku.
Kad budeš instalirala isključi ono install program updates automatically, kad apdejtuješ program poništi mu se krekovan ključ koji ubaciš posle. Baze možeš da apdejtuješ opušteno.
Les certitudes rendent les hommes aveugles et fous. Elles peuvent dévorer leur coeur et les changer en bête.
Probaj da ga obrises iz safe mode-a ukoliko nisi do sad. Ako ni to nece, Combofix resava sve probleme. U tom slucaju bi morala da pogasis Antivirus i Firewall. Samo moras da budes pazljiva ukoliko se odlucis da radis sa njim.
skini eTrust PestPatrol Anti-Spyware 5.0.1.5 updejtuj ga pa pretrazi C. AKO NE POMOGNE ONDA SAMO TI OSTAJE JOS DA PROBAS ComboFix. skini najnoviju verziju,iskljuci sve zastite, prati uputstva,internet mora da radi.
=============================================== KOJI JE PRVI BIĆE POSLEDNJI A KOJI JE POSLEDNJI BIĆE PRVI A ŠTO JE TAJNO BIĆE JAVNO
:: :: Probaću, ako ko ima još koju ideju.. :: :: Zaboravih da se zahvalim Bata Celetu na dijagnostici: HVALA
...када сам последњи пут срео Сасера, Симантек уз `boot-scan` Аваста је решио проблем. Немам свежије решење.
Напомене: - Било који од помеутих програма-чистача да употребиш, УВЕК мора бити искључен `System Restore` јер је ту Сасеру `одступница`. - Такође, мораш бити улогавана као администратор јер Сасер, заправо, угрожава идентификацију појединих корисника. - Да си имала активан нативни ХР firewall уместо Комода, вероватно црв не би могао да продре у рачунар. То је једна од ретких предности Микросфтове заштите над Комодом, али сад шта је - ту је...
У политици, лако је водити рачуна о интересу богатих.
Nije me bilo par dana pa javljam da je problem sređen baš Spyware doctorom. Nakon skeniranja našao je sve Sasserove unose (6-7) i aktivnu aplikaciju, sve to uklonio, čak ni restart nije bio potreban. Zanimalo me je da li ga je očistio pa sam restartovala komp da proverim i sve je bilo u redu
Hvala svima!!!!
:: Probaj spyware doctor ako već nisi, najdetaljniji je od tih univerzalnih antispyware programa, skenira i viruse odnedavno o jednom trošku :: :: Kad budeš instalirala isključi ono install program updates automatically, kad apdejtuješ program poništi mu se krekovan ključ koji ubaciš posle. Baze možeš da apdejtuješ opušteno :: :: Les certitudes rendent les hommes aveugles et fous :: Elles peuvent dévorer leur coeur et les changer en bête. :: ::
Mališa nikad nije omanuo, jedino što je malo glomazan da bi se koristio stalno, staviš ga kad zapadneš u govna i skineš kad središ. Bitno da se sve lepo završilo.
Gde li nam je machine da traži palačinke...
Les certitudes rendent les hommes aveugles et fous. Elles peuvent dévorer leur coeur et les changer en bête.
Broj postavljenih tema: 60355. Broj poslatih odgovora: 647005. Trenutno niste prijavljeni na PC Berzu i zbog toga imate status 'gosta'. Kao gost ne možete da šaljete poruke na Forum. Ako ste registrovani kao član PC Berze, prijavite se. Ako ste novi korisnik, molimo registrujte se da bi dobili mogućnost aktivnog učešća u radu Foruma.
