2 Lomtáram van!

All replies

• 

  

  0

  Sign in to vote

  Hali,
  
  Így elsőre igen gyanús, hogy visszamásolja magát... tipp:
  
  - Ha a gépen lefuttatott víruskergetés nem hoz eredményt (csökkentett módban, system restore kikapcsolva!), akkor vedd ki a vinyót, és egy tuti tiszta gépen, amelyiken van friss állapotú megbízható kergető, ellenőriztesd át az egész vinyót
  - Ha ez lefutott, és van eredmény (talált valamit), akkor visszarakva az eredeti gépbe, csökkentett módban indítva nézz szét a registry-ben, a \Windows; \winsows\system és system32 mappákban, relatíve újabb dátumú (amióta elkezdődött ez a jelenség) exe, cmd, com, dll kiterjesztések után kutatva
  - ha találtál gyanus fájlokat, akkor azokat nevezd át, majd normál módban indítsd újra a gépet, ezután még1x érdemes átnézni a regisrty-t (run; runonce ágak), és a szolgáltatások között is érdemes szétnézni (esetleg windows naplókban megnézni, akar-e indulni valami, ami nem tud, stb.), majd még 1 vírusellenőrzés, a biztonság kedvéért
  
  Üdv,
  
  BG.
  

  Thursday, December 4, 2008 12:28 PM
• 

  

  0

  Sign in to vote

  Köszi a tippet!
  Miután MiniPe-vel leszedtem, a 2.Lomtáramat nem jött vissza, biztonság kedvéért lefuttattam egy viruskergetőt, az sem talált semmit, és biztos ami biztos rákerestem a registryben a ctfmon.exe-re
  Ezeket találta ami nem a system32-ben volt hanem máshol. A legszebb hogy nincs is E:\ meghajtóm ugyhogy töröltem ezeket az értékeket.
  
  HKEY_USERS\S-1-5-21....\Software\Microsoft\Winndows\Currentversion\Explorer\MountPouints2>0d84228......>Shell>Open(&0)>Command>Alapértelmezett: E:\Recycled\ctfmon.exe
  
  HKEY_USERS\S-1-5-21....\Software\Microsoft\Winndows\Currentversion\Explorer\MountPouints2>596a7513......>Shell>Open(&0)>Command>Alapértelmezett: E:\Recycled\ctfmon.exe
  
  HKEY_USERS\S-1-5-21....\Software\Microsoft\Winndows\Currentversion\Explorer\MountPouints2>83813c05......>Shell>Open(&0)>Command>Alapértelmezett: E:\Recycled\ctfmon.exe
  
  Tulajdonképpen tudja vki mire jó a desktop.ini, mert van belőle a Docoments & Settings Mappán belül egy csomó a hálózat többi gépén is.
  
  És a ctfmon.exe mit csinál?
  
  Még várok 1-2 napot.... remélem nem jön vissza. Ha igen akkor kiveszem a vinyót és megcsinálom a fenntieket...
  
  Addig is köszi: Viktor
  

  Thursday, December 4, 2008 2:46 PM
• 

  

  0

  Sign in to vote

  Hali,
  
  ctfmon.exe-ről pár infó: http://support.microsoft.com/kb/282599/hu
  
  A desktop.ini pedig különböző infókat tárol a mappáról és bennük lévő fájlokról (pl. mappa ikonja/megjeleése, ha van valaki olyan fain gyerek, hogy customizálja ezeket, stb.)
  
  Üdv,
  
  BG.
  

  Thursday, December 4, 2008 4:48 PM
• 

  

  0

  Sign in to vote

  Tegnap du- 17kor abbahagtam a melót a gépen és reggel 8:30-kor megint megtalálta az a avast a ctfmon.exe-t és a autorun.inf file-t mint vírus. Elolvastam amit küldtél a ctfmonról. lényege: "Az office beépülő része, egy speciális szövegbeviteli eszköze. Eltávoltása nem javasolt." hát én ezt fogom tenni. Megtettem, de semmi Elávolítottam az összes bejegyzést a regeditben, amiben szerepelt a CTFMON kulcs-azonosító-érték illetve letiltott majdnem mindent amiben volt Run Runonce, AutoRun és Open! A végén már letörlötem DOS-ban a Lomtárat Az eredetit és a másodikat is, de akkor is visszajön mindíg mind a 2. Ugyhogy marad a vinyó ki - vinyó be... Viruskergetés....  Addig is ha van egyéb ötlet szivesen várom... Köszönöm: Viktor
  

  Friday, December 5, 2008 10:17 AM
• 

  

  0

  Sign in to vote

  On-line scan-t javaslok: (http://www.eset.com/onlinescan/)

   

  Friday, December 5, 2008 10:35 AM
• 

  

  0

  Sign in to vote

  Sajna az online scan sem segített mert, ugyan megtalálta mint virust viszont azt irta ki hogy unable clean - deleted. Gondolom a törlés megtörtént, de ugyanaz történt mint feljebb... törltem és visszamásolta magát. Ugyanúgy mintha az eredeti Windows lomtárat törlöm  az isvisszamásolja magát.... Azért köszi, szerintem a format lesz a megoldás...
  Viktor
  

  Friday, December 5, 2008 12:23 PM
• 

  

  0

  Sign in to vote

  El is felejtettem mondani, hogy van a C:\Megosztott Mappaban egy autorun.inf flie ami tartalma
  
  [autorun]
  shellexecute=Recycled\ctfmon.exe
  shell\Open(&0)\command=Recycled\ctfmon.exe
  shell=Open(&0)
  
  persze ezt is töröltem meg megtalálta a viruskereső, de a helyzet ugyanaz mint a lomtárral, mindegy hogy Winben vagy Dos-ban törlöm. Ugyanúgy ott van az Rendszerindításnál és az avast meg sikít, hogy VIRUS....
  
  Ha módosítani akarom akkor az irja ki hogy A fájt nem lehet létrehozni Ellenőrizze hogy az elérési út helyes-e...
  Megoldás Jobbklikk Tulajdonságok Írásvédett Pipa ki.... Már tudom módosítani...Juhhé! Hiába módosítom, a lomtár törlése után visszamásolja magát.... Passzolok...
  

  Friday, December 5, 2008 1:09 PM
• 

  

  0

  Sign in to vote

  Javaslom a Spybot S&D futtatását a legfrissebb adatbázis update-tel, a következő rendszerindításkor megtenni.

   

  Friday, December 5, 2008 1:21 PM
• 

  

  0

  Sign in to vote

  Valószínűleg hiába törlöd így a dögöt, mert minden rendszerindulásnál valamilyen eldugott helyről újra előjön. Ezért mondtam, hogy érdemes átnézni a gépet olyan dátumú dll - dat - com - exe - stb. állományok után, ahol a dátum kb. az, amikor elkezdődtek a bajok. Víruskeresésnél teljes vizsgálatot indíts, van olyan kereső, mely alapból csak az általa veszélyesnek gondolt mappákat és állományokat vizsgálja át, a többihez hozzá sem szagol, csak ha beállítod. Van, hogy nem is gépeden lapul a dög, csak az az összetevője, amelyik, ha van netkapcsolat, akkor onnan tölti le magát a dögöt, ha kitörölted.

   

  El lehet szarakodni sokáig az ilyenekkel, ez igaz, de pont azért mondtam, hogy vedd k a vinyót, hogy semmi se induljon el azon a rendszeren, és úgy futtatni rajta egy full keresést pl. NOD vagy Kaspersky stb. keresőkkel.

   

  Friday, December 5, 2008 8:10 PM
• 

  

  0

  Sign in to vote

  Megvan a megoldás! Valóban vírus volt, tehát jó helyen keresgéltünk, csak a bibi az volt hogy a hálózat egyik számítógépén volt a vírus, és nem a sajátgépen. Akkor tűnt fel a dolog amikor tudom, hogy nem volt senki a gépnél, és mégis be volt jelentkezve, amint kikapcsoltam a a másik gépet már nem másolódott be a fájl. Tehát hiába kerestem a sajátgépen eldugott zugokban vagy registryben, és formatáltam le a vinyót, mert nem ott volt a forrás.
  
  A rengeteg segítséget ezúton is köszönöm!
  Üdv Viktor
  

  Wednesday, January 14, 2009 11:05 AM