Κόλλησα Ιο!

[xrokos]

Παιδιά ηρεμία δεν είναι τίποτα το τρομερό.
Κάντε τα εξής!
1. Μπαινετε σε safe mode στα Windows (πατώντας F8 κατά την εκκίνηση).
2. Σβήνετε από C:\Program Files\Msn Messenger\ msnmsgr.exe και msgs.exe
3. Πηγαίνετε στο C:\WINDOWS\System32\ και σβήνετε τα alfa.exe και sprY.exe
4. Από το Desktop σβήνετε photo223.PIF (ή κάτι παρόμοιο).
5. Κάνετε restart και full system scan με το antivirus (αφού το κάνετε update).
6. Ξαναβάζετε το msn.

Και άλλη φορά δεν ανοίγουμε τέτοια αρχεία, έβγαζε μάτι ότι ήταν ιος!

[Babedacus]

Βασικά το μόνο που χρειάζεται στο βήμα 2 είναι να διαγράψεις το msnmsgr.exe και να μετονομάσεις το msgs.exe σε msnmsgr.exe,ώστε να μη χρειαστεί το βήμα 6. F-Secure sayeth.Αλλά για να έχεις το κεφάλι σου ήσυχο...(Επειδή οι "ιοί" είναι επιρρεπείς στις μεταλλάξεις)

[xrokos]

Σωστός! Αλλά επειδή δεν είναι και τόσο κόπος να το ξανακατεβάσετε κάντε το!

[Ganther]

Ευχαριστω για τις απαντησεις

Χροκε αυτο που λες στην περιπτωση μου δε βοηθησε...

Προφανως και εβγαζε ματι οτι ηταν ιος αλλα οπως ειπαμε δεν το προσεξαμε γιατι μιλουσαμε στο τηλ...

Παντως εμενα τιποτα δεν εχει γινει ακομα, εκτος του οτι εχω και παλι ελληνικα...

[AmmarkoV]

Το ίδιο μου ήρθε και εμένα αλλά προφανώς δεν είναι το πρόβλημα το autosave , το execute είναι..
Kαι αφού φαίνεται η κατάληξη .pif

[Ganther]

Το ίδιο μου ήρθε και εμένα αλλά προφανώς δεν είναι το πρόβλημα το autosave , το execute είναι..
Kαι αφού φαίνεται η κατάληξη .pif

Πιστεψε με, δεν εκανα execute
Παιδια το τελευταιο που χρειαζομαι αυτη τη στιγμη ειναι "πως την πατησες αφου φαινοτανε" και "δεν αρκει να το σωσεις θελει και να το τρεξεις"
Αμα την πατησετε, θα δειτε και εσεις ποσο ευκολα γινεται (μακαρι να μην την παθετε βεβαια... :P ) Νομιζω οτι το εξαντλησα το θεμα του πως το πατησα, αμα σας ερθει κατι οσο μιλατε σε κανα τηλ με καμμια κοπελα π.χ. θα δειτε πως την πατας

οριστε και μερικες παραπομπες σε προηγουμενα μηνυματα μου

Πριν λιγο μοu ηρθε στο ΜΣΝ ενα μυνημα απο ατομο στη λιστα μου ποu ελεγε να κανω cλιcκ σε μια φωτο!
Επειδη μιλαγα στο voip εκεινη την ωρα, εκανε popup το window και πατησα cλιcκ στο λινκ καταλαθος (ΚΟΥΛΟ )

Δεν χρισιμοποιοuσα αντιβαιροuς γιατι θεωρω οτι προσεχω και ειναι η 1η φορα που την παταω (μετα απο 12 χρονια + στα ΡC) αλλα την πατησα επειδη μιλαγα και δεν προσεχα! Το λινκ φαινοταν υποπτο απο την αρχη!

Ammarkov o mozilla μαζι με auto-save κανει και auto-run οταν πατησεις open σε καποιους τυπους αρχειων


μαλλον την πατησα επειδη το adsl Μου εινε ταχυτατο και δεν προλαβα να δω καν το τι γινοταν transfer

[AmmarkoV]

Ammarkov o mozilla μαζι με auto-save κανει και auto-run οταν πατησεις open σε καποιους τυπους αρχειων

Δεν νομίζω γιατί δεν κόλησα παρ`ότι και εγώ έχω autosave Το auto open είναι για filetypes mp3,midi κτλ.. Όχι για pif , exe , scr , bat κτλ..
Πρέπει δηλαδή να του είχες πει να ανοίγει pif.. Η να πάτησες καταλάθως open..
Και δεν το λέω για κακό , απλά λίγο πιο προσεκτικός να είναι κανείς..
Αφού το έθεσες υπο έλεγχο..

Όποιος τον θέλει για βιοψία , τον έχο τον ιούλη είναι 135KB αλλά τον άνοιξα με PE Explorer και φαίνεται packetαρισμένος (UPX η κάτι custom)..

Αυτό που κάνει transmit στο MSN είναι

is that you on that photo?! :| h t t p : //w w w .max max 712 . c o m /photos.php?photo=photo211.jpg
και αν το πατήσεις o server σου στέλνει το photo211.pif (ακόμα μεγαλύτερο πρόβλημα θα ήταν αν είχαν βάλει αντί για .jpg , .gif , γιατί gif με pif αν έχεις λίγο στραβωμάρα.. )

[Ganther]

του εχω βαλει να τα ανοιγει ολα... Μαλακια, αλλα συνηθως προσεχω ΠΡΙΝ πατησω :p
Για πιφ δε ξερω αν θελει, αλλα τα εξε τα ανοιγει, το δοκιμασα τωρα...

[AmmarkoV]

Πάντως να λές και πάλι καλά..
Είχα κολήσει έναν ιο (OPAServ) σε Win98SE που εκμεταλευόταν διάφορα πράματα και μου είχε γ@#@$ει το δίκτυο.. και όχι μόνο αυτό αλλά μετά κατέβαζε και άλλους από ένα site , έκανε modify των κώδικα όλων των exe ,dll κτλ έτσι ωστε να γίνεσαι infected αν τα τρέχεις και μετά να τρέχουν κανονικά..
Είδα και έπαθα για να φέρω στα ίσα τους τα PC μου..
Τώρα αυτός δεν σου έκανε τίποτα..

[The Punisher]

Και εμένα μου ήρθε με msn από έναν φίλο (τον παίρνς τηλέφωνο να του πω την λυπητερή) και πάτησα και εγώ, αλλά είδα μπλαμπλαμπλα.pif και από κάτω "opens with MS-DOS κάτι" οπότε δεν έκανα την κίνηση να το κατεβάσω

Όλα αυτά σε FF 1.5.0.7

[Paralias]

Eμένα το βράδυ μου έσκασε άλλες δύο φορές το ίδιο πράγμα από τον Ganther,σήμερα όλα φυσιολογικότατα.Ας ελπίσουμε να τη γλύτωσα.
Οι υπόλοιποι όμως που το ξέρετς τωρα ΠΡΟΣΟΧΗ!

[Ganther]

Δεν εχει φυγει ακομα... ΤΟ πρωι ξυπνησα και ειδα οτι ειχε κανει και καμποσες προσπαθειες για Dial... τι ωραια πραγματα... μαλλον θα κανω κανα φορματ να τελειωνω

[AnINffected]

Ganther προς το παρόν βγάλε το καλώδιο του τηλεφώνου από το pc (γιατί απ'ότι κατάλαβα έχεις PSTN/ISDN) και μετά βλέπεις τι θα κάνεις.

Ξέρουμε πως ονομάζεται ο ιός;Ίσως ενα ειδικευμένο removal tool να βοηθούσε.

Α και, παιδιά, μείνετε μακριά από τη λίστα μου

[Ganther]

ADSL εχω οποτε δεν κινδυνευω :P
αν ηταν dialer και ειχα pstn τωρα δε θα εγραφα

YΓ.Γιατι εβγαλες το msn σου απο το προφιλ σου??

[AnINffected]

Α, οπότε είσαι εντάξει!
Το μόνο είδος malware που με κάνει πραγματικά ν'ανησυχώ είναι οι dialers!Κατα τ'άλλα τη βρίσκω να κολλάω-αν δεν είχα τη σχολή ή δουλειές στο μέλλον δεν θα με πείραζε καθόλου.
Μάλιστα, αν είχα περισσότερο χρόνο-και χρήμα ίσως-θα τα κόλλαγα στον εαυτό μου, όπως έκανε κάποτε ο HdkiLLeR!

Γμτ, ψάχνω να βρώ πληροφορίες για αυτό βάσει των όσων λέτε άλλα δε μπορώ.Υπάρχουν τόσοι ιοί που έχουν να κάνουν με το Matrix και MSN.

[Elder]

Και ο ιός συνεχίσει να δρα ανενόχλητος. Την πάτησαν δυο φίλοι μου... Δεν τα διάβασα όλα, αλλά όποιος έχει πρόβλημα ας δοκιμάσει επαναφορά συστήματος με F8 μόλις ξεκινάτε κλπ (αλλά αφού σκεφτείτε πρώτα καλά τι κερδίζετε και τι χάνετε ). Στον ένα φίλο μου δούλεψε ο άλλος δεν ξέρω τι έκανε...

[Ganther]

με εχουν πιασει τα νευρα μου! Το system restore προφανως και δεν εκανε τιποτα, το ιδιο οποιο antivirus δοκιμασα, το ιδιο και διαφορα τουλς, νομιζω μονο ενα που εψαχνε για beagle βρηκε κατι, αλλα δε διορθωσε τιποτα... Οχι ρε γαμωτο μαλλον φορματ θα κανω, αλλα θα χασω και πραγματα που θελω που δεν ειχα μεταφερει σε αλλα partitons :S :S

H πλακα ειναι οτι και σε safe mode το πισι ειναι μη λειτουργικο... Δηλαδη ειναι αργο και δεν μπορω στην ουσια να κανω κατι... Πως την πατησα ετσι....

γραφω απο το φορητο, γιατι πλεον το αλλο τα εχει παιξει εντελως

[Babedacus]

θα χασω και πραγματα που θελω που δεν ειχα μεταφερει σε αλλα partitons :S :S

Σκέφτηκες να βάλεις στα γρήγορα μια διανομή live Linux,να πάρεις ότι χρειαστείς από το c:\,και να το γράψεις σε cd,η αν έχεις FAT διαμερίσματα να τα γράψεις κατευθείαν εκεί;

[Ganther]

θα χασω και πραγματα που θελω που δεν ειχα μεταφερει σε αλλα partitons :S :S

Σκέφτηκες να βάλεις στα γρήγορα μια διανομή live Linux,να πάρεις ότι χρειαστείς από το c:\,και να το γράψεις σε cd,η αν έχεις FAT διαμερίσματα να τα γράψεις κατευθείαν εκεί;

Δε σκαμπαζω απο λινουξ και το προβλημα ειναι οτι δινω αλλα 4 μαθηματα και ηδη εχω χασει 2 μερες διαβασμα με αυτη την Αηδια... Μαλλον θα δουλεψω σε αλλο πισι και θα το δω μετα την εξεταστικη και μετα το εξωτερικο= Καλος νοεμβρης...

Με λαιβ σιντι λινουξ βλεπω τα φατ παρτισιονς σιγουρα?? Θυμαμαι οτι παλιοτερα δεν μπορουσα... (στανταρ λαθος θα εκανα)

Τρεχω μια βλακεια τωρα, και εχει βρει 800 ινφεξιονς! χαχα



ΛΟΙΠΟΝ!
Μερικες φορες τα "δυσκολα" προβληματα λυνονται με απλες, λυσεις...

Δεν ξερω, αν εχω απαλαγει, η αν απλα το εκανα να ειναι σε λανθανουσα, μορφη, παντως ειναι οτι καλυτερο καταφερα σε σχεση με οτι δοκιμασα (αρκετα πραγματα)
Εκανα ενα search που περιλαμβανε hidden, system folders και εσβησα "με το χερι" οτι δημιουργηθηκε 6/10/2006 (ημερα που κολησα δηλαδη) και τωρα το μηχανημα φαινεται μια χαρα... Επειδη δεν εχω ιδιαιτερο χρονο να ασχοληθω θα το αφησω ετσι προς το παρων αφου δεν με ενοχλει κατι, και βλεπουμε... Ευχαριστω για τη βοηθεια παιδες!

[Einherjar]

Η αλήθεια είναι ότι άμα μπαίνει στη μνήμη θα δημιουργεί αντίγραφα συνέχεια ακόμα και αν τα σβήνεις. Απλά εύχομαι να μην είναι αυτή η περίπτωσή σου.

[Ganther]

Η αλήθεια είναι ότι άμα μπαίνει στη μνήμη θα δημιουργεί αντίγραφα συνέχεια ακόμα και αν τα σβήνεις. Απλά εύχομαι να μην είναι αυτή η περίπτωσή σου.

Σωστος και ηταν η 1η μου σκεψη... Απλα εχω κανει καμποσα restart και δεν εχει εμφανιστει... Προς το παρων κανω πως το ξεχασα ( ) να δουμε τι θα γινει

[AmmarkoV]

Αν κάποιος θέλει τον ιο πάντως pm me..
Τον έχω ανεβάσει με prefix .pif.dead στο τέλος ωστε να είναι κάπως ακίνδυνος..

ADDED
Assembly source Assembly virus 2.1ΜΒ