Skype vīruss! Kā tikt galā?

[bedrens]

Sveiki!

Visu laiku uz skype sūtās it kā bilde no facebook!

Kā sūtītājs norādīts visa mana Skype kontaktu grupa!

Tika atvērta un nu Skype nokāries!

Pārinstalēju Skype bet nekas nemainas!

Gribēju uzzināt kā lai no tā tiek vaļā!

Paldies!

[Grossmeister]

Ja tā "it kā bilde" nebija bilde , tad jāskatās reģistros un task manager . Antivīruss , ja tāds ira , nebļaustījās it kā bildi atverot ?

[Arnis2002]

mēģini : http://www.freedrweb.com/livecd/

[bedrens]

tas bija kā exe fails, antivirus neesot blaustijies...bet tagad skype vairs neatveras...

[Grossmeister]

Tad tomēr exe , nevis bilde - caur Skype saņemtus exe failus no nesaprotamiem avotiem vērt vaļā nav prāta darbs . Tā CureIt jau ieteica , varbūt system restore var vēl provēt . Kurš antivīruss nolažojās , lai zinam kam griezt muguru ?

[tolx]

noinstalējam skype,iekš safe mode izskanējam ar combofix,piestartējam un liekam skype pa jaunam virsū.

[marizo]

Pāris dienas atpakaļ māšele uzrāvās uz šo "ķipa bildi". Tas izveido Skype konferenci un izsūta linku uz sevi visiem kontaktiem ik pēc 30 min.

 

1) task manager aizveram procesu mdm.exe. Maskējas ar nosaukumu kaut kāds Windows Firewall vai kaut kas tml.

2) atveram msconfig, izņemam to mēslu no startup

3) no c:/windows izdzēšam mdm.exe (var būt nepieciešams ieslēgt show hidden files vai lietot kādu no komanderiem, piemēram, Total Commander)

 

AVG2012 free uz šo nenoreaģēja.

Iesaku pabrīdināt visus, kas Tev kontaktos, kā arī to, no kura saņēmi.

Labots Februāris 13, 2012 - marizo

[_dunduks_]

es zinu, ka vismaz symantec ar šo nolažojās. klusēja kā partizāns.

supports teica, ka nepaspēja ielikt atjauninājumos. tagad viss ir ok.

[bedrens]

Man ir panda cloud! Nereaģēja!

 

izdariju kā MARIZO teica, liekas ka viss ok

Labots Februāris 13, 2012 - bedrens

[Zux]

Uz exe failu pirmajam reaģēt vajadzēja "Antivīrusam" kas atrodās starp beņķi un PC!

[Athlons]

šitais mums pa biroju klīda pagujušo nedēļ, kolēģis neiedziļinoties faila nosaukumā, to atvēra, domādams, ka tas ir kas ar darbu saistīts...

pat diezgan smagi nokāra visu vindu... nezinu, tieši kā tur viss notika, bet cits kolēģis bija spiests taisīt repair xp install, lai vispār kompis startētos... tad saifā palaida kaut kādu vīrušķērāju, avastu, laikam... kko atrada... tagad kolēģis pat neko dzirdēt par skypu negrib...

 

un jā mse arī šito noignorē...

[Mezavecis]

Grossmeister,

 

Kādi vēl tur System restore un citi pasākumi? Ūberbīstamie vīrusi un neizķeramie mūsdienās ir tik reti, ka antivīrusu cilvēkam ar taisnām rokām nav vajadzīgs lietot. Specpasākumi vajadzīgi tiem, kas salikuši visādus "antispyware" un "supeantivirus" progas, kurs spēj apēst.

 

Niknākais, ko esmu redzējis pa šiem gadiem, ir Elkern.C (Klez.E) un SmithFraud. Pēdējo nīcinot nācās īpaši pasvīst.

 

P.S. Pirms nedēļas bez visām instrukcijām šo zarazu pusstundas laikā izravēju bez jebkādiem tūļiem.

Labots Februāris 13, 2012 - Mežavecis

[Grossmeister]

Man pēdējā laikā nav iznācis ar vīrusiem daudz cīnīties , kaut gan pašā nesenākajā gadījumā taisīju system restore no recovery konsoles - pēc kaut kāda driver robota instalācijas , kura rezultātā jaukais softs bij pa savam visus draiverus saupdeitojis , XP spēja iestartēties tik līdz zilajam logam .

[Rocezi]

Itamais skype vīruss atslēdzis visas aizsardzības programmas, pie kam Microsofta essential tā, ka vairs nav palaižams, jāpārinstalē. Kad uzliku atpakaļ un palaidu Essential, viņš to mdm.exe atzina par slikto un novāca. Tomēr šodien manīju, ka no manis (it kā) atkal izsūtīta grupa ar to vīrusa failu. Paldies par padomiem, meklēšu un tīrīšu;)

[McB]

Varbūt tomēr samaksā tos drausmīgi daudzos 10Ls par svaigu instalu?

Komplektā tai "māsai" user accountu, lai viņa tikai savā accountā var laist RAR formāta "bildes".

[Rocezi]

Lai mainītu oriģinālo pret pirātu, jābūt ļooooooooti jau iemeslam:) Iztīrījām.

Dīvaini, ka Skype jaunākā versija joprojām laiž spamus iekšā. Acīmredzot gaida pasaules galu, kad vīruss pats nobeigsies.

Essential skanējot vīrusu atrod un iznīcina.

[Firza]

Tā arī nesaprotu, kāpēc tauta tā nemīl "System Restore". Tai vietā, lai ar „System Restore” datoru pilnībā salabotu 5 minūtēs, cilvēkiem patīk čakarēties vairākas dienas un arī tad vēl nekas nav salabots un beigas būs tādas, ka tiks izmantots „universālais antivīruss”, kurš tiešām likvidē visus vīrusu – Windows pārinstalēšana.

Tagad vairs nerakstīšu garus tekstus par to kas ir "System Restore" un ko tas dara. Ja kādam interesē, internetā informācija par to ir atrodam, arī iekš Boot tāda informācija ir.

Ja „System Restore” darbojas (vīruss vai pats lietotājs to nav atslēdzis), tad atjaunojot sistēmas stāvokli uz laika, kad vīruss datorā vēl netika darbināts, tad sistēmas stāvoklis būs tāds kāds tās bija pirms vīrusa darbināšanas. Nebūs ne vīrusu, ne tā radīto seko. Neviens no zināmajiem antivīrusiem tik labi nemācēs attīrīt datoru no vīrusa un tā radītajam sekām. Antivīruss kā programma jau nevar zināt, ko ir izdarījis vīrusus, bet ko pats lietotājs. Piemēram, atslēgt Regedit, Task Manger var ne tikai vīruss, bet arī sistēmas administrators. Būtu muļķīgi, ja antivīrusus pats savā nodabā sāktu atslēgt visus administratora uzliktos ierobežojumus.

 

P.S. Tikai nevajag atkal sākt rakstīt muļķības par to, ka „System Restore” ir vieta kur vīrusiem patīk slēpties. Vispirms tomēr nebūtu slikti pašam izlasīt, kā darbojas „System Restore” un tikai tad var sākt diskutēt par tēmu, nevis sagrābstīt mazus informācijas gabaliņus, baumu līmenī, kam ar reālo „System Restore” darbību nav nekāda sakara.

[McB]

Lai mainītu oriģinālo pret pirātu, jābūt ļooooooooti jau iemeslam:) Iztīrījām.

Tu tā esi savā mazajā prātiņā izkūkojis, ka tikai pirmais Windows instals ir legāls?

Dīvaini, ka Skype jaunākā versija joprojām laiž spamus iekšā. Acīmredzot gaida pasaules galu, kad vīruss pats nobeigsies.

Essential skanējot vīrusu atrod un iznīcina.

Kapēc lai Skype "nelaistu iekšā" parastus linkus? Es, piemēram, gribu saņemt linkus no cilvēkiem! Cita lieta ir ka pilnīgs slims cilvēks atver saarhivētu exe failu (pat ne scr, vai pif/lnk) un ver to vaļā neskatoties uz 2 brīdinājumiem.

P.S. Tikai nevajag atkal sākt rakstīt muļķības par to, ka „System Restore” ir vieta kur vīrusiem patīk slēpties. Vispirms tomēr nebūtu slikti pašam izlasīt, kā darbojas „System Restore” un tikai tad var sākt diskutēt par tēmu, nevis sagrābstīt mazus informācijas gabaliņus, baumu līmenī, kam ar reālo „System Restore” darbību nav nekāda sakara.

Acīmredzot neesi saskāries ar tādiem vīrusiem, un dzen propagandu.

pie kam!! system restore uz w7 ir obligaats pasaakums! ja xp instalaaciju totaala kresja gadiijumaa vareeja jauki sarepairot no instalaacija/s diska, tad w7 sjaadas iespeejas nav un systemrestore ir vieniigais glaabinjsj)

Abos gadijumos tas nav pareizais variants. Bet nemēģināšu ieskaidrot kapēc, esmu dzirdējis ka tam seko bans.

[Firza]

Acīmredzot ne esi saskāries ar tādiem vīrusiem, un dzen propagandu

Nu, labi, ja reiz sākām diskusiju par System Restore darbību, tad es uzskatīšu, ka Tu esi iepazinies ar to ko dara System Restore (man gan ir aizdomas, ka esi tikai dzirdējis baumas, bet pats neko ne esi lasījis).

Tad man ir daži jautājumi:

1) ja es izdomāju rakstīt vīrusu, kādas priekšrocības mans vīruss iegūs, ja tas tiks slēpts iekš „System Restore”?

2) kādā veidā tāds „System Restore” vīruss varēs automātiski palaisties, ja noklusēti mapei „System Volume Information” pieejas tiesības ir tikai lietotājam „System”?

3) Vai vīruss, kurš sevi iekš autorun būs ierakstījis, kā „C:\System Volume Information\winlogon.exe ir mazāk aizdomīgs par vīrusu, kurš piemēram palaižas no C:\Windows\System\winlogon.exe ?

 

Ja ir vīruss, kurš nevis vienkārši slēpjas mapē "System Volume Information", bet gan speciāli inficē kādu no reāliem restore point, kā tas vīruss atrod mapi (piemēram _restore{C2A6D9FA-B860-490E-B409-1CF7772F76EA}), kurā tam vajag ievietoties, pēc tam, kā tas atrod vajadzīgo apakšmapi (piemēram Rp115), pēc tam kādā veidā vīruss zina ar kādu faila nosaukumu viņam vajag sevi tajā mapē ievietot, lai tas kādreiz arī vispār spētu atdzīvoties (failu nosaukumi tur ir apmēram šādi A0023385.exe un kaut kuri ir tabulu ar to kā šie failu nosaukumi ir attiecināmi pret īstajiem failu nosaukumiem un to atrašanās vietai) un pēc tam vēl kā izlabot reģistra faila kopiju (_REGISTRY_MACHINE_SOFTWARE), lai tajā ierakstītu vīrusu iekš autorun? Un tad kad viss tas ne pārāk vieglais uzdevums ir paveikts, rodas jautājums a kam tas vispār ir vajadzīgs? Rakstīt vīrusu, kurš speciali inficē konkrēto restore point un cerēt, ka varbūt 1x gadā datorlietotājs izmantos System Restore un vīruss varēs kļūt aktīvs. Tak 1000x veiklāk ir uzkratīt visparastāko vīrusu, kurš normāli dzīvo Windows mapē sāk dzīvot uzreiz , nekā cerēt uz to, ka lietotājs kādreiz palaidīs System Restore.

 

To, no kurienes iekš System Restore tiešām uzrodas vīrusi Tev taču vajadzētu zināt, ja reiz esi lasīji informāciju pār to kā darbojas System Restore.

Labots Februāris 19, 2012 - Firza

[McB]

Tādi vīrusi bija XP laikos. Tīrs reinstals nozīmē iztikt bez defraga. System Restore nav ātra. Maksimums kam es piekristu taisīt System restore, ja nu tas būtu nesen dagots, un visu laiku manis pieskatīts kompis, kādam ofisa darbiniekam kurš saķer zarazu retāk nekā reizi gadā.

[Firza]

Tādi vīrusi bija XP laikos.

System Restore nav ātra.

Par kādiem vīrusiem ir runa:

1. par tādiem, kuri slēpjas mapē „System Volume Information”,
   
2. par tādiem, kuri inficē restore point
   
3. par tādiem, kurus laiku pa laikam atrod antivīruss mapē „System Volume Information”.
   

Par pirmajiem diviem vīrusu tipiem jau rakstīju – no vīrusu rakstītāja viedokļa rakstīt tādus vīrusus ir bezjēdzīga laika tērēšana. Darba daudz, bet lietderīgās jēgas nekādas.

Ar vīrusiem, kurus antivīruss atrod mapē „System Volume Information” viss ir vienkāršāk nekā izskatās. Ja ir ieslēgts System Restore, tad šajā mapē nonāk pilnīgi visi vīrusi, kurus ir izdzēsis antivīruss pat lietotājs. Tas gan nenozīmē, ka vīrusiem tur patīk slēpties vai patīk inficēt restore point, tas tikai norāda uz to, ka System Restore darbojas un pilda tam uzlikto darbu – aizsargāt sistēmu no iespējamiem bojājumiem, veidojot Registry un citu svarīgu sistēmas failu rezerves kopijas. Vīrusi iekš „System Volume Information” nokļūst dēļ tā, ka System Restore aizsargā visus izpildāmos failus, nešķirojot vai tie ir labi vai slikti. Bet nav vajadzības uztraukties par briesmīgajiem System Restore vīrusiem, jo mapē „System Volume Information” atrodas vienīgi beigti, neaktīvi vīrusi.

 

Hmm, par to vai „System Restore” ir vai nav ātrs man grūti spriest, jo lai par to spriestu, to ātrumu vajag salīdzināt ar kaut ko citu. Pat i nezinu ar ko var salīdzināt „System Restore” darbības ātrumu, varbūt ar kāda antivīrusu pilnu datora skenēšanu, vai ar vīrusu likvidēšanu ar rokām. Ja „System Restore” ātrumu salīdzina tā, tad nezinu ne vienu antivīrusu, kurš 5 minūtēs spēj likvidēt vīrusu un vēl satīrīt tā atstātās pēdas (runa ir par situāciju, kad antivīruss jau ir pieļāvis datora inficēšanos), un arī datora tīrīšana ar rokām nav tas ātrākais darbs. Ne esmu gan speciāli mērījis cik ātri „System Restore” veic atjaunošanas darbu, bet liekas, ka tas nav vairāk kā 10 minūtes.

[Somebody]

Noņemam checkbox Folder settinngos - Hide known file types extensions

Tad parasti cilvēks nelaiž dīvainus exe failus, kas maskējas par .doc, .jpg vai veel kaut ko nekaitīgu

[Rocezi]

Rocezi, 19 February 2012 - 09:36 teica:

 

Lai mainītu oriģinālo pret pirātu, jābūt ļooooooooti jau iemeslam:) Iztīrījām.

Tu tā esi savā mazajā prātiņā izkūkojis, ka tikai pirmais Windows instals ir legāls?

 

Taisnība, mans prāts par mazu, lai atrastu legālu Win par Ls10, kā piedāvāji;)

 

Tātad, ir vīruss mdm.exe no tā sasodītā Skype spama, kurš uzrodas bezsakarā un piedāvā failu, kuru, protams, nevajadzēja mēģināt aplūkot. Pa daļām atrodams

C:/ documents and settings/user/downloads/Picture12.jpg.zip//Picture.jpg_facebook.com,

C:/ documents and settings/user/downloads/Picture12.jpg.zip,

c:/doc and set/user/AppData/local/Mic/Win/Wer/ReportArchive/Report0e9f8fd1/Report.cab

c:/doc and set/user/AppData/local/Mic/Win/Wer/ReportArchive/Report0e9f8fd1//Report.cab/{5DF8BB61-UTT...}-MDM.exe//PE-Crypt.XorPE

c:/doc and set/user/AppData/local/Mic/Win/Wer/ReportArchive/Report0e9f8fd1/Report.cab//{5DF8BB61-UTT...}-MDM.exe

 

Uz Vista HE. Varbūt kādam palīdz iztīrīt.

 

PS Šitos salasīja Kasperskis, pirms tam Essential novāca mdm.exe, bet nav saglabājies no kurienes, acīmredzot, jāmeklē.

Labots Februāris 20, 2012 - Rocezi

[Grossmeister]

Taisnība, mans prāts par mazu, lai atrastu legālu Win par Ls10, kā piedāvāji;)

Esi nedaudz pārpratis - tie 10 LVL ir domāta samaksa par darbu , t.i. W7 uzstādīšanu , likt jau uzlikts atbilstošu tavai licencei , ja vien instelētājs nenāk ar savu disku , kurā ešošās versijas neapgrūtina lietotājus ar key pieprasīšanu .

[McB]

Bet nu tādam slimam cilvēkam nevajag ne kompi ne internetu.

[Touareg]

Izskatās, ka arī es esmu iekritis kā tāds pamuļķis, tieši runāju ar māsu izmantojot Skype un te pēkšņi izlec čata logā:'' haha foto un links uz facebook'' es, protams, redzu, ka no māsas un vēl facebook neko neprasot vēru vaļā un nekas tai failā nebija.

PC iet rūkdams, nav nekādu problēmu tik, kad ieiet Skype tad man visu laiku lec tās čatu konferences(vīruss), dižais Avast neko nebrīdināja un nenoķēra to vīrusu, bet, kad uzliku Boot time Scan tad atrada kaut kadu facebook vīrusa failu, BET, lūdzu, sakiet kas tas par procesu man Task Manager, proti, MDM.exe(aizņem 308KB) tas ir Machine Debug Manager vai tomēr vīruss?

Labots Marts 1, 2012 - Touareg

[mafijs]

Apskaties ar http://technet.microsoft.com/en-us/sysinternals/bb896653

[Touareg]

Atvainojos par savu blondo galviņu, bet, lūdzu, paskatieties un pasakiet vai viss labi ar tiem procesiem, es arī ar CCleaner visus reģistrus iztīriju pēc Skype atinstalēšanas.

 

Labots Marts 1, 2012 - Touareg

[Mezavecis]

Neķer kreņķi.

 

Un kāds iemesls bija noinstalēt skype? Skaips ir tikai saziņas līdzeklis. Tad jau atnākot ļaunai īsziņai, telefons jāmet podā, jāsadedzina un pēc tam jādezinficē.

[Touareg]

Skype atinstalēju, jo kā es viņu ieslēdzu tā man uzradās veselas 3 jaunas čata konferences un apnika, es nemācēju viņas izdzēst spiedu leave conversation, bet nekā viņas tur palika.