Outline · [ Standard ] · Linear+ Cum scap de o porcarie de malware?

Am o porcarie pe calculator si nu reusesc sa ii dau de cap. Firewalul o declara ca kmns.exe. nu stiu ce e asta. dati un search pe google si veti vedea ca nu gaseste nimic. stinger nu a gasit nimic, nici norton antivirus, nici adaware. calcu da sa se conecteze la net prin dialup si am surprins un trafic colosal - am trimis info la greu e cumva system32.exe? - (logpole)??? E vorba de un windows xp pe care teroretic se navigheaza doar cu mozilla. Multumesc.

Am o porcarie pe calculator si nu reusesc sa ii dau de cap.

Firewalul o declara ca kmns.exe. nu stiu ce e asta. dati un search pe google si veti vedea ca nu gaseste nimic.
stinger nu a gasit nimic, nici norton antivirus, nici adaware.

calcu da sa se conecteze la net prin dialup si am surprins un trafic colosal - am trimis info la greu

e cumva system32.exe? - (logpole)???

E vorba de un windows xp pe care teroretic se navigheaza doar cu mozilla.

Multumesc.

Incearca in felul asta (nu garantez ca va merge):

Cauta executabilul cu search si vezi in ce director apare. Daca e un alt director decat Windows cauta pe net sa vezi ce program face directorul ala (daca e ceva neobisnuit).

Apoi incearca sa il redenumesti din Safe Mode sau chiar MS-DOS prompt. In cel mai rau caz poti incerca cu un Knoppix sa iti montezi partitia rw si sa il redenumesti asa.

Daca nu ai probleme in functionalitatea windows sau daca dispare problema cu conectivitatea automata...sterge-l de tot. Daca reapare, atunci ai clar un vierme sau un troian. Ma mai gandesc, poate mai imi vin idei.

Ia incearca si Microsoft AntiSpyware!?
Poate ai o surpriza placuta?

Instaleaza MS antispyware (programul in sine e aproape inutil, cu mici exceptii). Intra in tools-advanced tools->system explorers si cauta acolo sa vezi de cine se agata exe-le ala ca sa porneasca. Dupa ce l-ai dibuit, da-i la cap si apoi redenumeste-l cu alta extensie.

Ai file sharing si alea activat ? incearca sa-l debifezi, poate nu va opri ce e deja, dar pe viitor ar putea preveni.
PS incearca sa cauti dupa kmns.exe ala prin registry (cu Find)

This post has been edited by Cornel001: 19 Apr 2005, 18:36

Nu cred ca MS antispyware e prea grozav. Mie mi-a zis ca FlasGet e tare periculos pt. sistemul meu, inclusiv fisierul readme.txt. De multe ori cea mai simpla si mai benefica solutie e o reinstalare de sistem pe curat (adica cu format in prealabil). Si eu am o balarie infipta in sistem si nu am reusit sa scap de ea cu nimic: AdAware, SpyBoot, etc

AdAware si SpyBoot Search and Destroy - sunt freeware si cred ca vor ajuta...

RIon, mi-ai luat vorbele din tastatura. Poti incerca si cu Spy Sweeper, pe langa celelalte mentionate deja.

multumesc tuturor.

adaware s-a declarat deja neputincios.

am dat search dupa kmns.exe, si, surprise, nu apare nicaieri.

in schimb mi-a declarat ceva pe lsass.exe - deci teoretic ar fi sasser. dar nici asta nu e, pentru ca fixul de la norton nu vede nimic, si oricum ar fi trebuit sa fie vazut si de stinger.

deja norton incepe sa ma enerveze, nu e prima data cand il prind cu mata in sac.

Va tin la curent.

NU folosesc Norton, pentru ca ingreuneaza foarte mult viteza sistemului; folosesc Trend Micro PCCilin 2004 (mi se pare AV-ul anuli 2004) care are si firewall (dar din motive de retea folosesc firewalul din XP), precum si EZTrust, complementar, lucreaza bine impreuna, si, bineinteles, update-uri la windows.
Cu AdAware si SpyBoot sunt protejat destul de bine... nu trec virusii de protectia mea, decat daca sunt neatent

firewall am zone alert de la zone labs. din tot ce am incercat cu asta ma inteleg cel mai bine. De fapt, singura protectie a calcului sta acum in el, pentru ca vad ca tot ce am incercat altceva a esuat pana acum.

Daca ai intr-o zi vreo doua ore de pierdut - fa o instalare pe "curat", apoi obligatoriu update-uri la windoze. Asta m-a ajutat de fiecare data sa scap si de cei mai "incapatinati" viermi...apoi - din experienta proprie - bit defender 8.0 si asta actualizat. Stiu ca nu este intruchiparea perfectiunii insa isi face treaba si nu ingreuneaza sistemul.
Numai bine!

PS: instalarea s-o faci fara cablu bagat in placa de retea!

This post has been edited by PriesT: 20 Apr 2005, 07:22

os, ai SP2? Ai toate update-urile la zi?

Ce ai tu pare a fi un bot.

Partea cea mai haioasa este ca am reusit sa inlatur adware/spyware pe care nu le vedeau programele mai sus mentionate cu.... yahoo toolbar, care are si un anti-spy.

Intr-adevar nu am gasit kmns.exe pe nicaieri. Dar nici nu e nevoie, caci unii viermi creaza un exe cu nume aleatoriu.

Cauta in registri orice cale care duce la acest kmns. S-ar putea sa ai mai mult succes.

O sa-i intreb si pe colegi despre asta...

hehe, e vorba de adso, nu de os.

cred ca ai dreptate. Nu am sp2 pentru ca nu m-a interesat- e calcu folosit pe post de masina de scris / navigat in special de nevasta-mea. (daca citeste asta, imi arde leptopu )

azi ii pun. am cautat si pe hard si in registrii si nu gaseste nimic.

o sa iau si yahoo toolbar, nu se stie cum e cu iepurii astia...

multumesc si va tin la curent.

Incearca cu pestpatrol-ul
http://home.ca.com/dr/sat4/ec_main.entry25...iates&sid=35715

Inainte (de a fi cumparati) aveau si o scanare gratis pe server-ul lor.

La mine si-a cam facut treaba, parerea mea ca e destul de bun (a fost cumparat de CA)

Iata ce-mi spune un super bazat in antivirus:

>> E vorba de un windows xp pe care teroretic se navigheaza doar cu mozilla.

Daca xp-ul nu e actualizat la zi sau cu SP2 INAINTE sa se conecteze la internet prin orice (dial-up, lan etc) deja si-a furat-o.

Firewalul o declara ca kmns.exe. nu stiu ce e asta. dati un search pe...

nu stiu nici eu ce e cu kmns.exe. e posibil sa fie un nume aleator luat la momentul executiei. Depinde si de firewall foloseste.

stinger nu a gasit nimic, nici norton antivirus, nici adaware.

daca respectiva problema e deja in memorie, slabe sanse sa il vada.

> calcu da sa se conecteze la net prin dialup si am surprins un trafic
> colosal - am trimis info la greu

ceea ce inseamna ca e posibil deja sa fie infectat

> e cumva system32.exe? - (logpole)???

nu stiu de unde a luat termenul "logpole" dar exista 2 variante de virus numit Logpole, din care unul are un executabil numit chiar system32.exe http://www.trendmicro.com/vinfo/virusencyc...OLE%2EB&VSect=T
http://securityresponse.symantec.com/avcen....logpole.c.html

solutia de curatare rapida e urmatoarea:
- manuala: reboot in safe mode, executa msconfig si scoate din programele care se executa la boot acel C:\windows\system32.exe care e problema. de asemenea, ar fi bine sa ne zica si ce programe vede ca pleaca de acolo ca poate mai sunt si alte infectii.

De asemenea, ar fi useful de descarce
sysclean: http://www.trendmicro.com/ftp/products/tsc/sysclean.com
si ultimul pattern
http://www.trendmicro.com/download/pattern.asp

apoi sa le puna pe amandoua intr-un director, boot in safe mode, executa apoi sysclean.com-ul si asteapta vreo ora sau mai mult pana in scaneaza tot sistemul. hopefully, dupa aia o sa ii mearga normal. faza insa e ca dupa ce i l-a curatat, daca nu e up to date sau macar cu sp2, sunt sanse ca la prima conexiune la internet sa si-o fure again.

Oricum, o reinstalare de WindowsXP cu SP2 inclus e o solutie safe.

merci mult.

voi face asa cum ajung acasa. va tin la corent

Nu cred ca MS antispyware e prea grozav. Mie mi-a zis ca FlasGet e tare periculos pt. sistemul meu, inclusiv fisierul readme.txt. De multe ori cea mai simpla si mai benefica solutie e o reinstalare de sistem pe curat (adica cu format in prealabil). Si eu am o balarie infipta in sistem si nu am reusit sa scap de ea cu nimic: AdAware, SpyBoot, etc

Cu exceptia cazului in care e infectat kernelu nimic nu poate fi atit de adinc infipt incit sa nu poata fi ejectat. Chiar si kernelul, daca ai la dispozitie un hard sau un rescue disc de pe care sa butezi safe.

in schimb mi-a declarat ceva pe lsass.exe - deci teoretic ar fi sasser.

Nu. Sasserul este lsasss (ori cu trei de "s" ori cu unul singur, zau ca nu mai stiu).

Revenind la problema ta - oprit modemul, bootat safe mode, inchis procese, sters "manual" continutul temporary internet files (adica cu un totalcommander, sa le vezi cu ochii tai ca s-a golit directorul). adaware scan -> stergere si din "carantina". kaspersky personal pro scan -> stergere neconditionata. verificat manual daca mai exista fisierul -> stergere manuala daca e cazul. In final bootezi in mod normal, scan din nou adaware si scan kaspersky full.

Pe linga firewall iti recomand cu caldura un antivirus. Nu este obligatoriu ca acesta sa fie rezident. De exemplu la kaspersky poti sa instalezi toate modulele in afara de monitor si e perfect.

Cum am scapat eu de belele (adica: sistem foarte lent, reseturi la orice ora):
1. scos cablul de retea
2. sters partitia de XP si refacuta
3. setup XP cu SP1 apoi instalat SP2 de pe CD (din cauza ca asa le am)
4. instalat un Zone Alarm pe care-l aveam pe un CD
5. conectat cablul de retea, luat update la Zone Alarm + windows
6. luat si instalat AdAware Personal SE + update-uri
7. luat si instalat Spybot S&D + update-uri
8. luat si instalat AntiVir Personal Edition (www.freeav.com) + update-uri
9. Jos Internet Explorer, instalat Firefox
10. Jos Outlook, instalat Thunderbird
11. Scanat tot sistemul de virusi si spyware.
12. Instalat fisierul hosts de la http://www.mvps.org/winhelp2002/hosts.htm

Sistem: Duron 800 MHz, 256 MB DDRAM, 40 GB HDD WD Caviar SE 400JB, Windows XP SP1 trecut la SP2

Programe rezidente: AntiVir, Zone Alarm

Probleme dupa: nici una

This post has been edited by Illusi0n: 20 Apr 2005, 10:55

Poti incerca si cu HijackThis.exe Eu l-am folosit cand am avut nevoie si m-a ajutat sa identific niste probleme. il gasesti pe net.

Eu aveam probleme MARI de tot cu PC-ul din cauza worm/virusi.. Etc..
Mie nu imi mai mergea netu din retea din cauza atacurilor! Ce am facut:
1. scos cablu de retea
2. formatat hardu
3. inst SP2
4. inst bit defender
5. bagat cablu la retea si da-i bataie la Update-uri automate...

PS: am asa inst de 3 luni si mere PERFECT.. NU tu alte fire-wall-uri, nu tu sistem aglomerat, merge PERFECT

Si sa zic si eu: nforce2 cu sempron 2200, 378 ram (cam asa parca..) si hard de 80gb..

Fara firewall nu te vad bine... chiar daca totul merge ... perfect...
Activeaza macar firewall-ul xp-ului. Tot e bun ca impiedica download-urile de pe site-urile capcana...

AVIZ AMATORILOR: fara firewall activat, fie el cat de simplu, v-o puteti lua la orice ora din zi! Si din noapte! Doar un antivirus NU este suficient!

XP-ul preSP2 activa automat firewall-ul doar pentru conexiunile dial-up. Dupa SP2 firewall-ul este activ implicit pe toate conexiunile asa ca e foarte probabil sa-l aiba activ.

Nu cred ca preSP2 activeaza vreun firewall by default. Asta pe care il am eu acasa (a propos, ieri nu am avut timp sa ridic un deget pentru el. azi il iau la puricat si va spun) se conecteaza singur pe dialup daca il las si incepe sa scuipe informatie la greu.

Mai incearca o chestie, care pe mine m-a salvat la un moment dat...

Vezi daca ai reun restore point salvat inainte ca ustensila sa o ia razna!
Fa un restore la momentul respectiv, dupa care dezactiveaza si reactiveaza system restore (ca sa curete eventuali carcalaci ramasi prin restore pointurile ulterioare), fa un restore point.
Baga SpyBot Search and Destroy, baga Adaware...

...si daca tot mai face - formateaza-l.

Recomand calduros sa-ti pui totusi SP2-ul...

Toate bune!