Gondolkoztam, hogy megírjam-e (van-e értelme megírni) ezt a bejegyzést, aztán úgy voltam vele, hogy ártani nem ártok maximum csak annak, aki megérdemli, a kurva pedig ne sírjon, ha seggbebasszák, ugyebár. Most szólok, ebben a postban nem lesz csattanó, nem lesz poén, se tanulság, csak tényszerűen leírom, hogyan szabadultam meg egy undorító féregtől. Nem érdemes tehát továbbolvasnod, viszont ha egy szép napon ehhez hasonló kép fogad a számítógépeden, gyere ide vissza, hátha neked is segít megszabadulni tőle ez a leírás. (Viszont kap egy pirospontot az, aki a háttérképemen található figura nevét - így takarásból - megmondja.)
Hogy hogyan jutott be az én gépemre, azt nem tudom, egy bekapcsolás után ez fogadott. Pedig nem vagyok az az ész nélkül kattintgatós fajta. Próbáltam víruskeresőkkel meg adware eltávolítókkal kezdeni, de mindegyik csak addig jutott, hogy hurrá, leszedtem, aztán a következő restartnál megint ott viháncolt a kis szemét. Több oldalon leírják, hogyan kell manuálisan eltávolítani, de abba inkább bele se kezdtem, túl bonyolultnak tűnt.
Vigyázz, ez csak akkor működik, ha rendszergazdafiókkal vagy bejelentkezve! Ha az otthoni gépedet használod, akkor valószínűleg az úgy is van.
Szóval, ahogy én csináltam. Ez a szépség azzal kezdi, hogy letiltja a feladatkezelőt és a registryt. Az elsővel azt éri el, hogy alt+control+del-lel nem tudod kilőni a processzlistából, a másodikkal pedig azt, hogy az automatikusan induló folyamatok közül sem tudod törölni. A windows ezen funkcióit tehát először vissza kell kapcsolni.
Ezzel kezdd:
Kattints a Start menüre, és válaszd a Futtatást
írd be ezt: gpedit.msc
enter, feljön a Csoportházirend
Feladatkezelő engedélyezése:
(a feladatkezelő nincs engedélyezve, ha Ctrl+Alt+Del-t nyomva olyan üzenetet kapsz, hogy a rendszergazda letiltotta)
Felhasználó konfigurációja --> Felügyeleti sablonok --> Rendszer --> Ctrl+Alt+Del beállításai
Jobb oldalon kattints duplán a "Feladatkezelő eltávolítása" sorra
Válaszd a letiltva opciót
(Ezután esetleg zárd be az egész ablakot.)
Próbáld meg, hogy Ctrl+Alt+Del-re most feljön-e a Feladatkezelő. Ha nem, akkor próbáld újra elölről a csoportházirendnél, játszhatsz olyannal, hogy az Engedélyezést választod, leokézod, megint az eltávolítást, lényeg, hogy előbb-utóbb jöjjön fel az a q*rva task manager. (Ha feljött, ne zárd be.)
Registry engedélyezése:
(a registry nincs engedélyezve, ha a Start--> Futtatás után a "regedit" szót begépelve, enter után, olyan üzenetet kapsz, hogy a rendszergazda letiltotta)
Ismét a csoportházirendben vagyunk.
Felhasználó konfigurációja --> Felügyeleti sablonok --> Rendszer
Jobb oldalon duplakatt a "Rendszerleíró adatbázis szerkesztőeszközeinek megakadályozása" sorra
Újra játssz vele addig, míg regedit-re fel nem jön a registry (=Rendszerleíróadatbázis-szerkesztő). Csúnyán néz ki, de nem kell tőle félni, nem bánt :). Ezt se zárd be, ha sikerült megnyitni.
No, a kezdőlépések megvannak, jöjjön a mészárszék!
A Feladatkezelő ablakában vagyunk. Kattints a Folyamatok fülre, és a Programkód neve szövegre kattintva rendezd ABC szerinti sorrendbe a listát. Ekkor nekem legfelülre egy csupa számokból álló folyamatnév került. Na, ő az ellenség. Írd fel ezt a számsort valahova, mert meg kell majd keresni a gépen, hogy ki tudd törölni. Ha ez megvan, kattints rá jobb gombbal, és válaszd a "Folyamat leállítása" parancsot. Ha figyelmeztet meg kérdez, akkor igenigen, te le akarod lőni.
Ezzel eltűnik a Malware Doctor ablaka, meg jobb oldalon lentről a kis ikonja is. Viszont a vírus még a gépen van. Nekem a "Documents And Settings\LocalService\Application Data" könyvtárban bújt el. Ez egy rejtett könyvtár, így külön engedélyezni kell a rejtett könyvtárak megjelenítését is. Total Commanderben ez a "Beállítások-->Általános beállítások-->Képernyő" útvonalon a "Látszik a rejtett/system fájl (csak szakembereknek)" (legfölül) mellé tett pipával érhető el. Más programban meg máshogy.
Szóval ha megvan a fájl, akkor egyszerűen töröld le, és mellette minden mást is, ami szintén csupa számokból áll. (ha nem ott van, ahol én írtam, keress rá, meglesz az, de figyelj arra, hogy rejtett könyvtárakban/rejtett fájlok között is keressen)
Ez eddig fél győzelem, még el kell érni, hogy ne jöhessen újra elő.
Most a registryben fogunk turkálni. Itt különösen körültekintően járj el, mert könnyű elb*szni a rendszert, ha rossz dolgot törölsz le. Csak óvatosan!
Szóval, Rendszerleíró adatbázis. Baloldalon az alábbi helyre nyitogasd le a plusszjeleket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ha a Run-ra rákattintasz, jobboldalt megjelenik egy csomó minden. Ezek azok a programok, amik a számítógép indulásakor automatikusan elindulnak. Lesz közöttük Malware Doctor is. Na, arra kell rámenni agresszíven, jobb klikk, törlés.
Ezután az alábbi útvonalat kéne még bejárni:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ha itt is van Malware Doctor, le vele!
Elvileg kész, halleluja. Indítsd újra a gépet, és imádkozz buzgón, hogy ne jelenjen meg újra a doki. Nekem a fenti lépéssorozat megoldotta a problémát. A biztonság kedvéért azért egy víruskeresőt futtass még le.
UPDATE:
Kommentek között többen írták, hogy hiába csinálták végig, újra és újra megint ott viháncol. Kollektív ötlet következik mindenkinek :).
Ha nincs még, tölts le egy malware eltávolító programot, az ad-aware például tök jó lesz, itt megtalálható. Telepítsd, engedd, hogy frissítse magát (angolul nem tudók olyat keressenek, hogy 'update').
Ezután szüntesd meg a netkapcsolatot. Kábel kihúz, wifi kikapcsol.
Ha épp van malware doctor a gépen, akkor a fenti lépéssorozattal töröld le újra, restart, és így futtasd le az ad-aware-t, full scan módban. Ez eltart egy darabig. Ha minden igaz, találni fog legalább egy olyan dolgot, aminek a nevében olyasmi van, hogy "trojan.downloader". Vagy valami hasonló. Mindegy, törölj le mindent, amit az ad-aware talál.
Erre azért lehet szükség, mert azok alapján, amit írtatok - 10 perc múlva megint megjelenik - valószínű, hogy fennmarad egy trójai, ami automatikusan letölti a malware doctort.
Ha ez kész, csak azután dugd vissza a netet.
UPDATE 2: (2009. június 4.)
Nyakamba szakadt egy kis szabadidő, összeszedem, mi hasznosat sikerült még összebrainstormingolni a kommentek között. Valamelyik hasznos lehet másnak is. Az alábbi lista az első 20 komment alapján készült, a többiek nevében is köszönöm mindenkinek ezeket az építő jellegű hozzászólásokat!
husky írta:
Én is úgy jártam, hogy valahogy becsúszott ez a doki, pedig nem is vagyok beteg. Végigcsináltam a leírtakat, de restart után megint beköszönt a dög.
Nekiláttam hát megint.
Elsőre is gyanús volt egy bizonyos reader_s.exe
szerepelt itt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
és itt is:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ez egy friss exe, a dátum alapján nem a windowszal települt. A gépen két helyen is szerepelt: c:/Documents and Settings/[felhasználó]/reader_s.exe, illetve a c:/windows/system32/reader_s.exe. Töröltem mindkét helyről az exe-t illetve a rendszerleíró-adatbázis szerkesztésében is töröltem mindkét helyről.
Csinálok egy restartot, és kiderül, hogy mi lett.
A következő kommentben írta, hogy ezzel neki eltűnt a malware doctor.
Fentebb azt írtam, hogy a MD nem tesz kárt, de többen panaszkodtatok arra, hogy elment a hang. Én kérek elnézést, nem tudtam,de ez esetben ártatlan vagyok, mert nekem a windowsomon alapból nincs semmilyen hang, ne kérdezzétek, miért, nincs és nem is volt, direkt :), így ezt nem vehettem észre. A hang visszakapcsolásában nem nagyon akarok látatlanban okoskodni, egy hangkártya driver újratelepítés segíthet, de ezt ne vegyétek készpénznek.
Valaki a dvd író elbarmolódásáról is megemlékezett, ebben esetleg az íróprogram újratelepítése segíthet. De ez ugyanúgy nem szentírás.
Az alábbi fájlnevek kerültek elő, melyek valószínűleg a doki letöltésében vehetnek részt (kibogarászta Kriszti, Gyorgy és husky):
f119.exe
service-f.exe
reader_s.exe
Avast!antivirus.exe
Gyorgy leírása alapján safe módban letörölhetőek ezek, legalábbis az utolsónál működött.
Ezt a safe módot, vagy magyarul csökkentett módot következőképp lehet elővarázsolni: indítsd újra a gépet, és még mielőtt előbukkanna a windows logó, szorgalmasan nyomogasd az F8-at. Ekkor egy menü jön elő, ahonnan a csökkentett módú indítást kell választani. Ekkor a windows - nevéhez hűen - csökkentett módban fog elindulni, ami valami olyasmit jelent, hogy csak a működéshez legszükségesebb dolgok töltődnek be.
A fentiek alapján sajnos úgy tűnik, hogy a MD-t különböző néven megbújó gonosz kis programok töltik le mindig a gépedre, így nem lehet megmondani előre a nevüket. Mindenesetre, ha csökkentett módban a fentiek közül valamelyiket megtalálod a windows könyvtárban (vagy mondjuk akárhol máshol, menjünk biztosra), akkor töröld le.
A csökkentett módra azért van szükség, mert normális esetben ezek a program a windows betöltődésekor elindulnak, így írásvédetté válnak, nem lehet őket letörölni.
Internet Explorer ideiglenes fájlok (mert Zsolt itt is talált MD-t):
(láthatóvá kell tenni a rejtett fájlokat, feljebb írtam, hogyan lehet ezt total commanderben)
Documents And Settings\[felhasználónév]\Local Settings\Temporary Internet Files
Az Ad-aware úgy tűnik, nem vált be, viszont a Superantyspyware nevű programra érkezett pozitív visszajelzés. Érdemes lehet kipróbálni.
A registry/task manager megnyitásában a fentieken túl sajnos nem tudok segíteni, szorri.
Végezetül egy fontos dolog: telepítsetek minden frissítés a windows update oldalról. Start menü --> Minden program --> Windows Update (fent)
Ha egy adagot felrakott, térj vissza mindaddig, míg azt nem írja ki, hogy nem talált több frissítést.
Szükség lehet egy ActiveX vezérlő telepítésére, enélkül a frissítések nem fognak felmenni. Ez elvileg ellenőrzi a windows eredetiségét is, na erről nem tudom, mennyire hatékony. Ha nem eredeti a windowsod, lehet benne egy kis kockázat... de persze itt mindenki boltban vette ;). (Az enyém amúgy legális, tényleg... állambácsi fizette... legalábbis a tisztasági teszten átment...).
Hogy hogyan jutott be az én gépemre, azt nem tudom, egy bekapcsolás után ez fogadott. Pedig nem vagyok az az ész nélkül kattintgatós fajta. Próbáltam víruskeresőkkel meg adware eltávolítókkal kezdeni, de mindegyik csak addig jutott, hogy hurrá, leszedtem, aztán a következő restartnál megint ott viháncolt a kis szemét. Több oldalon leírják, hogyan kell manuálisan eltávolítani, de abba inkább bele se kezdtem, túl bonyolultnak tűnt.
Vigyázz, ez csak akkor működik, ha rendszergazdafiókkal vagy bejelentkezve! Ha az otthoni gépedet használod, akkor valószínűleg az úgy is van.
Szóval, ahogy én csináltam. Ez a szépség azzal kezdi, hogy letiltja a feladatkezelőt és a registryt. Az elsővel azt éri el, hogy alt+control+del-lel nem tudod kilőni a processzlistából, a másodikkal pedig azt, hogy az automatikusan induló folyamatok közül sem tudod törölni. A windows ezen funkcióit tehát először vissza kell kapcsolni.
Ezzel kezdd:
Kattints a Start menüre, és válaszd a Futtatást
írd be ezt: gpedit.msc
enter, feljön a Csoportházirend
Feladatkezelő engedélyezése:
(a feladatkezelő nincs engedélyezve, ha Ctrl+Alt+Del-t nyomva olyan üzenetet kapsz, hogy a rendszergazda letiltotta)
Felhasználó konfigurációja --> Felügyeleti sablonok --> Rendszer --> Ctrl+Alt+Del beállításai
Jobb oldalon kattints duplán a "Feladatkezelő eltávolítása" sorra
Válaszd a letiltva opciót
(Ezután esetleg zárd be az egész ablakot.)
Próbáld meg, hogy Ctrl+Alt+Del-re most feljön-e a Feladatkezelő. Ha nem, akkor próbáld újra elölről a csoportházirendnél, játszhatsz olyannal, hogy az Engedélyezést választod, leokézod, megint az eltávolítást, lényeg, hogy előbb-utóbb jöjjön fel az a q*rva task manager. (Ha feljött, ne zárd be.)
Registry engedélyezése:
(a registry nincs engedélyezve, ha a Start--> Futtatás után a "regedit" szót begépelve, enter után, olyan üzenetet kapsz, hogy a rendszergazda letiltotta)
Ismét a csoportházirendben vagyunk.
Felhasználó konfigurációja --> Felügyeleti sablonok --> Rendszer
Jobb oldalon duplakatt a "Rendszerleíró adatbázis szerkesztőeszközeinek megakadályozása" sorra
Újra játssz vele addig, míg regedit-re fel nem jön a registry (=Rendszerleíróadatbázis-szerkesztő). Csúnyán néz ki, de nem kell tőle félni, nem bánt :). Ezt se zárd be, ha sikerült megnyitni.
No, a kezdőlépések megvannak, jöjjön a mészárszék!
A Feladatkezelő ablakában vagyunk. Kattints a Folyamatok fülre, és a Programkód neve szövegre kattintva rendezd ABC szerinti sorrendbe a listát. Ekkor nekem legfelülre egy csupa számokból álló folyamatnév került. Na, ő az ellenség. Írd fel ezt a számsort valahova, mert meg kell majd keresni a gépen, hogy ki tudd törölni. Ha ez megvan, kattints rá jobb gombbal, és válaszd a "Folyamat leállítása" parancsot. Ha figyelmeztet meg kérdez, akkor igenigen, te le akarod lőni.
Ezzel eltűnik a Malware Doctor ablaka, meg jobb oldalon lentről a kis ikonja is. Viszont a vírus még a gépen van. Nekem a "Documents And Settings\LocalService\Application Data" könyvtárban bújt el. Ez egy rejtett könyvtár, így külön engedélyezni kell a rejtett könyvtárak megjelenítését is. Total Commanderben ez a "Beállítások-->Általános beállítások-->Képernyő" útvonalon a "Látszik a rejtett/system fájl (csak szakembereknek)" (legfölül) mellé tett pipával érhető el. Más programban meg máshogy.
Szóval ha megvan a fájl, akkor egyszerűen töröld le, és mellette minden mást is, ami szintén csupa számokból áll. (ha nem ott van, ahol én írtam, keress rá, meglesz az, de figyelj arra, hogy rejtett könyvtárakban/rejtett fájlok között is keressen)
Ez eddig fél győzelem, még el kell érni, hogy ne jöhessen újra elő.
Most a registryben fogunk turkálni. Itt különösen körültekintően járj el, mert könnyű elb*szni a rendszert, ha rossz dolgot törölsz le. Csak óvatosan!
Szóval, Rendszerleíró adatbázis. Baloldalon az alábbi helyre nyitogasd le a plusszjeleket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ha a Run-ra rákattintasz, jobboldalt megjelenik egy csomó minden. Ezek azok a programok, amik a számítógép indulásakor automatikusan elindulnak. Lesz közöttük Malware Doctor is. Na, arra kell rámenni agresszíven, jobb klikk, törlés.
Ezután az alábbi útvonalat kéne még bejárni:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ha itt is van Malware Doctor, le vele!
Elvileg kész, halleluja. Indítsd újra a gépet, és imádkozz buzgón, hogy ne jelenjen meg újra a doki. Nekem a fenti lépéssorozat megoldotta a problémát. A biztonság kedvéért azért egy víruskeresőt futtass még le.
UPDATE:
Kommentek között többen írták, hogy hiába csinálták végig, újra és újra megint ott viháncol. Kollektív ötlet következik mindenkinek :).
Ha nincs még, tölts le egy malware eltávolító programot, az ad-aware például tök jó lesz, itt megtalálható. Telepítsd, engedd, hogy frissítse magát (angolul nem tudók olyat keressenek, hogy 'update').
Ezután szüntesd meg a netkapcsolatot. Kábel kihúz, wifi kikapcsol.
Ha épp van malware doctor a gépen, akkor a fenti lépéssorozattal töröld le újra, restart, és így futtasd le az ad-aware-t, full scan módban. Ez eltart egy darabig. Ha minden igaz, találni fog legalább egy olyan dolgot, aminek a nevében olyasmi van, hogy "trojan.downloader". Vagy valami hasonló. Mindegy, törölj le mindent, amit az ad-aware talál.
Erre azért lehet szükség, mert azok alapján, amit írtatok - 10 perc múlva megint megjelenik - valószínű, hogy fennmarad egy trójai, ami automatikusan letölti a malware doctort.
Ha ez kész, csak azután dugd vissza a netet.
UPDATE 2: (2009. június 4.)
Nyakamba szakadt egy kis szabadidő, összeszedem, mi hasznosat sikerült még összebrainstormingolni a kommentek között. Valamelyik hasznos lehet másnak is. Az alábbi lista az első 20 komment alapján készült, a többiek nevében is köszönöm mindenkinek ezeket az építő jellegű hozzászólásokat!
husky írta:
Én is úgy jártam, hogy valahogy becsúszott ez a doki, pedig nem is vagyok beteg. Végigcsináltam a leírtakat, de restart után megint beköszönt a dög.
Nekiláttam hát megint.
Elsőre is gyanús volt egy bizonyos reader_s.exe
szerepelt itt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
és itt is:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ez egy friss exe, a dátum alapján nem a windowszal települt. A gépen két helyen is szerepelt: c:/Documents and Settings/[felhasználó]/reader_s.exe, illetve a c:/windows/system32/reader_s.exe. Töröltem mindkét helyről az exe-t illetve a rendszerleíró-adatbázis szerkesztésében is töröltem mindkét helyről.
Csinálok egy restartot, és kiderül, hogy mi lett.
A következő kommentben írta, hogy ezzel neki eltűnt a malware doctor.
Fentebb azt írtam, hogy a MD nem tesz kárt, de többen panaszkodtatok arra, hogy elment a hang. Én kérek elnézést, nem tudtam,de ez esetben ártatlan vagyok, mert nekem a windowsomon alapból nincs semmilyen hang, ne kérdezzétek, miért, nincs és nem is volt, direkt :), így ezt nem vehettem észre. A hang visszakapcsolásában nem nagyon akarok látatlanban okoskodni, egy hangkártya driver újratelepítés segíthet, de ezt ne vegyétek készpénznek.
Valaki a dvd író elbarmolódásáról is megemlékezett, ebben esetleg az íróprogram újratelepítése segíthet. De ez ugyanúgy nem szentírás.
Az alábbi fájlnevek kerültek elő, melyek valószínűleg a doki letöltésében vehetnek részt (kibogarászta Kriszti, Gyorgy és husky):
f119.exe
service-f.exe
reader_s.exe
Avast!antivirus.exe
Gyorgy leírása alapján safe módban letörölhetőek ezek, legalábbis az utolsónál működött.
Ezt a safe módot, vagy magyarul csökkentett módot következőképp lehet elővarázsolni: indítsd újra a gépet, és még mielőtt előbukkanna a windows logó, szorgalmasan nyomogasd az F8-at. Ekkor egy menü jön elő, ahonnan a csökkentett módú indítást kell választani. Ekkor a windows - nevéhez hűen - csökkentett módban fog elindulni, ami valami olyasmit jelent, hogy csak a működéshez legszükségesebb dolgok töltődnek be.
A fentiek alapján sajnos úgy tűnik, hogy a MD-t különböző néven megbújó gonosz kis programok töltik le mindig a gépedre, így nem lehet megmondani előre a nevüket. Mindenesetre, ha csökkentett módban a fentiek közül valamelyiket megtalálod a windows könyvtárban (vagy mondjuk akárhol máshol, menjünk biztosra), akkor töröld le.
A csökkentett módra azért van szükség, mert normális esetben ezek a program a windows betöltődésekor elindulnak, így írásvédetté válnak, nem lehet őket letörölni.
Internet Explorer ideiglenes fájlok (mert Zsolt itt is talált MD-t):
(láthatóvá kell tenni a rejtett fájlokat, feljebb írtam, hogyan lehet ezt total commanderben)
Documents And Settings\[felhasználónév]\Local Settings\Temporary Internet Files
Az Ad-aware úgy tűnik, nem vált be, viszont a Superantyspyware nevű programra érkezett pozitív visszajelzés. Érdemes lehet kipróbálni.
A registry/task manager megnyitásában a fentieken túl sajnos nem tudok segíteni, szorri.
Végezetül egy fontos dolog: telepítsetek minden frissítés a windows update oldalról. Start menü --> Minden program --> Windows Update (fent)
Ha egy adagot felrakott, térj vissza mindaddig, míg azt nem írja ki, hogy nem talált több frissítést.
Szükség lehet egy ActiveX vezérlő telepítésére, enélkül a frissítések nem fognak felmenni. Ez elvileg ellenőrzi a windows eredetiségét is, na erről nem tudom, mennyire hatékony. Ha nem eredeti a windowsod, lehet benne egy kis kockázat... de persze itt mindenki boltban vette ;). (Az enyém amúgy legális, tényleg... állambácsi fizette... legalábbis a tisztasági teszten átment...).
Permalink: vasárnap, április 19, 2009
<< Home