• Announcements

    • alexcrist

      Regulile forumului BitDefender - Vă rugăm, citiți înainte de a posta   09/14/2016

      Regulile forumului BitDefender (VĂ RUGĂM SĂ LE CITIŢI ÎNAINTE DE A POSTA) Mai intâi, vă rugăm să vă înregistraţi în Forumul Oficial de Suport al BitDefender daca nu sunteţi deja un membru (este gratuit). Veţi avea nevoie să folosiţi o adresa de e-mail validă şi să urmaţi instrucţiunile pentru a vă valida contul. Apoi puteţi posta. Vă rugăm să urmaţi acest link pentru a vă înregistra: Înregistrare REGULI GLOBALE Bine aţi venit pe forumul BitDefender! Vă rugăm să ţineţi cont de faptul că o dată ce v-aţi înregistrat ca utilizator sunteţi în consecinţă de acord cu TOATE REGULILE ACESTUI FORUM. Ele sunt detaliate mai jos. Aceste reguli au fost create pentru a facilita interactiunea dintre utilizatorii într-o manieră plăcută şi constructivă şi de asemenea pentru a preveni orice tip de abuz. REGULI GENERALE 1. În primul rând, acesta este un forum de suport pentru BitDefender. NU este permisă postarea de teste comparative pentru soluţii de securitate deoarece acestea nu sunt relevante pentru caracterul principal al forumului. De asemenea, procesul de suport poate lua o multitudine de forme: o rutină de investigare este menită să localizeze cauza situaţiei raportate şi nu neapărat să ofere o soluţie permanentă – NU postaţi răspunsuri de forma „Am nevoie de o soluţie acum!" în loc să ne oferiţi informaţia cerută deoarece fără a localiza cauza nu avem cum să oferim o soluţie. 2. O dată ce se postează o poziţie oficială cu privire la un bug de produs şi un ETA pentru soluţie, acel topic va fi închis. NU cereţi ca topicul să fie redeschis decât în cazul în care aveţi în continuare bug-ul după lansarea actualizării menite a fixa acel bug. 3. Utilizatorii care au atins o cotă de atenţionare de 50% vor avea nevoie de aprobarea unui moderator pentru a le fi publicate postările, iar în cazul în care continuă să ignore regulile forumului vor avea contul suspendat. 4. Utilizatorii nu au voie sa se folosească de clone (utilizarea a mai multe conturi de către aceeaşi persoană). Încălcarea acestei reguli va conduce la un ban permanent pe adresa de IP. 5. Utilizatorii nu au dreptul să se folosească de proxy-uri anonime. Încălcarea acestei reguli va rezulta într-un avertisment, urmat de supunerea postărilor acelui utilizator la aprobarea de către un moderator-banarea contului. 6. Când raportaţi o situaţie cu privire la BitDefender, vă rugăm să vă asiguraţi că oferiţi urmatoarele informaţii: - Numele şi versiunea sistemului de operare; - Numele şi versiunea produsului BitDefender pe care îl folosiţi; - Mesajul complet de eroare pe care îl primiţi de la BitDefender şi, dacă este posibil, ataşaţi un screenshot cu el; - Numele celorlalte soluţii de securitate care rulează pe acel sistem; - Când aveţi întrebari despre fişiere nedetectate(alarme false sau fişiere suspectate ca fiind infectate, dar nedetectate de antivirus), vă rugăm să ataşaţi un raport de scanare BitDefender; - Vă rugăm să vă asiguraţi că aveţi BitDefender actualizat la zi pentru a fi siguri că informaţia este relevantă – pe forumul de suport nu acceptam decât postarea de loguri, pentru trimiterea de mostre vă rugăm să le urcaţi pe o platforma web de unde putem să le descărcăm pentru analiză. 7. Topicurile care se referă la lipsa de răspuns a departamentului de suport trebuie să fie acompaniate de cât mai multă informaţie cu privire la situaţia iniţială pentru care aţi contactat suportul. În momentul în care trimiteţi un e-mail către departamentul de suport se va crea un număr de tichet - vă rugăm să menţionaţi acel număr în postul de pe forum pentru a accelera întregul proces. 8. Moderatorii NU oferă suport prin mesaje personale. Nu trimiteţi mesaje personale moderatorilor decât dacă aceştia o cer explicit/doriţi să redeschideţi un topic închis în prealabil/doriţi să raportaţi un utilizator pentru limbaj abuziv sau spam. Toţi utilizatorii sunt trataţi în mod egali pe acest forum şi trimiterea de mesaje personale nu vă va garanta un răspuns mai rapid. 9. Orice formă de limbaj agresiv direcţionat către alţi membri ai forumului sau către grupul moderatorilor este în totalitate interzis. Atacurile continue vor rezulta în suspendarea contului sau banarea sa. De asemenea, orice formă de atac antisemitic , rasist sau social (prin imagini, text, mesaje personale, semnătură sau orice alt tip de comunicare folosit pe acest forum) nu va fi tolerat şi va rezulta în banarea imediată a contului. Vă rugăm să ţineţi cont de faptul că acest forum este un spaţiu public. Trataţi ceilalţi utilizatori în felul în care aţi vrea sa fiţi voi trataţi. SEMNĂTURI DE FORUM, AVATARE ŞI NUME DE UTILIZATORI Semnatura este optională pe acest forum şi este un mesaj personal pe care utilizatorul îl alege. Următoarele NU vor fi tolerate: 1. Orice tip de referire explicită la numele de marcă şi simbolurile altor soluţii de securitate decât BitDefender. Acesta este un forum de suport pentru BitDefender şi promovarea produselor competiţiei va rezulta în editarea acelor intrări şi o creştere de 20% a nivelului de avertizare. 2. Folosirea de imagini mai mari de 300 de pixeli în lăţime şi/sau 100 pixeli înălţime. 3. Folosirea de imagini sau texte care conţin cuvintele "Moderator", "Administrator" sau "Admin" în semnătură. Acestea nu vor face decât să deruteze ceilalţi utilizatori. 4. Folosirea de imagini sau texte luate de la alţi utilizatori ai forumului. Vă rugăm să folosiţi avatare unice. AVERTISMENTE Cei care violeaza în mod repetat aceste reguli vor primi avertismente/suspendări/banări. REGULI DE POSTARE 1. Titlurile topicurilor trebuie să fie cât mai concise posibil, iar postările iniţiale trebuie să conţină informaţii relevante despre incidentul raportat pentru a asigura un răspuns precis din partea celor care doresc să-i ajute. Spre exemplu: încercaţi să evitaţi titluri de tipul "Ajutooooor" optând mai degrabă pentru un titlul de tipul "Întrebări cu privire la BitDefender Antivirus". Ultimul titlu are mai multe şanse să primească un raspuns mai rapid. De asemenea, topicurile cu titluri de tipul "Programul X e naşpa" împreuna cu lipsa unor argumente constructive nu vor fi tolerate, topicurile vor fi şterse şi utilizatorul va primi un avertisment de 20%. 2. Postaţi topicurile noi în secţiunile corecte. Forumul este structurat în funcţie de Tipul de produs (Home/Office şi Protecţie Business) şi după versiuni de produs (2008, 2009, 2010 sau o versiune precedentă). Dacă postaţi o întrebare în secţiunea corectă aveţi şansa să primiţi un răspuns corect pentru situaţia semnalată. 3. Bump-uri/ Publicitatea făcuta unui topic sau orice alte încercări de a face un topic mai vizibil fără a adăuga informaţii noi şi relevante NU vor fi tolerate şi postarea respectivă va fi ştearsă. 4. Când postaţi un răspuns pe un topic încercaţi să menţineţi sugestiile într-o arie relevantă – spre exemplu, când există un post referitor la un mesaj de eroare în BitDefender 2009 nu recomandaţi downgrade-ul la BitDefender 2008 deoarece această sugestie nu se adresează situaţiei raportate. Multiple postări de acest tip vor conduce la o creştere a nivelul de avertisment cu 20%. 5. Răspunsurile offtopic (cele care nu au nimic de-a face cu subiectul acelui topic) vor fi şterse şi utilizatorul va primi un avertisment scris. Postarea in repetate randuri de raspunsuri de raspunsuri offtopic va conduce la cresterea nivelului de avertisment cu 10%. 6. Mentineti culoarea textului, fonturile si tipul de litere intre limite normale si placute – orice postare care conţine numai majuscule va fi editată de către moderatori, acelaşi procedeu se aplică posturilor care conţin caractere mai mari de 20. 7. Înainte de a deschide un topic nou vă recomandăm cu căldură să folosiţi butonul de CAUTARE pentru a fi siguri că acea situaţie nu a mai fost discutată. În cazul în care deschideţi un topic nou cu o situaţie care a fost deja discutată, topicul nou va fi închis şi redirecţionat către cel iniţial. 8. Nu cereţi acelaşi lucru pe mai multe secţiuni ale forumului. Nu postaţi acelaşi topic de mai multe ori. Topicurile multiple vor fi închise şi redirecţionate către cel original pentru a evita confuzia. 9. NU cereţi /postaţi crack-uri, seriale de înregistrare sau orice alte acţiuni care includ pirateria de software. Topicurile şi răspunsurile legate crackuri de software, sfaturi pentru a trece de sisteme de securitate, crackuri pentru protocoale de securitate, atacuri de tip flood sau postări care promovează cracking-ul sau atacurile pe Internet în orice fel vor fi şterse şi utilizatorul care le-a postat va avea contul suspendat imediat. De asemenea, nu va fi oferit nici un tip de suport utilizatorilor care foloseşte o versiune piratată de BitDefender pe sistemele său. 10. Vă rugăm să evitaţi titluri de topicuri de genul "URGENT" deoarece toate cazurile sunt tratate cât mai repede posibil. 11. Vă rugăm să aveţi răbdare – există o mulţime de situaţii semnalate pe forum şi facem tot posibilul să raspundem la toate. Prin urmare, puteţi primi un raspuns imediat dar, de asemenea, poate dura cateva zile. 12. Nu permitem posturi care solicită sau fac publicitate unor produse, servicii, fonduri sau donaţii – toate aceste topicuri vor fi ŞTERSE în mod automat. Publicitatea explicită este de asemenea interzisă. REGULILE FORUMULUI SUNT SUPUSE MODIFICĂRILOR DE CĂTRE MODERATORI ŞI POT FI SCHIMBATE ÎN ORICE MOMENT FĂRĂ O NOTIFICARE PREALABILĂ. ORICE TOPIC CARE DEZBATE ACESTE REGULI VA FI ÎNCHIS ŞI ŞTERS ÎN MOD AUTOMAT DEOARECE REGULILE NU SUNT SUPUSE DEZBATERII.   O zi bună, Echipa BitDefender.
woodyman

Virusul "pinguinului"

27 posts in this topic

Am o MARE MARE problema , am ajuns si aici in speranta ca ma puteti salva :(

Problema e urmatoare..... dupa vreo 3 formaturi , dintre care ultimele 2 formaturi am sters si cele 2 partitii (c si d ) si am dat format general ( nu quick si cu firul de retea scos) virusul asta nesimtit si care ma face sa inebunesc tot NU a disparut.

Am windows xp original + antivirus+ firewall+ antispyware iar programele de securitate le'am bagat cu firul scos chiar dupa ce am terminat windowsul de instalat iar apoi imediat mi-am bagat driverele calculatorului de pe cd , vazandu-ma cu toate cele instalate am zis sa bag si cablu de retea(care sunt conectat la internet) si primul site care l-am accesat a fost acces.czone.ro care firma asta foloseste un program de autentificare pentru a-ti da drumu la internet asa ca bine inteles l-am luat.

SI cu nervi si dureri de cap vad imediat o manifestare de'a virusului.

Manifeste( din cate am observat eu):

-apare un banner(care te duce pe site-ul lor) cu sau fara un pinguin si un scris in chineza atunci cand intru pe un site oarecare( dar nu totdeauna apare, oricum de cele mai multe ori)

-apar intreruperi ale internetului

-daca dau click pe un link de download de cele mai multe ori nu-mi trage ce ar trebuii sa traga si trage un setup de al lor.

Ce trebuie sa fac sa scap de virusul asta sau ce D-zeu este?

Oare este virusul pe site-ul lor? in programul ala? in serverul lor care au datele de autentificare si sa trimita cate un pachet pentru cine stie ce utilizator si sa-l viruseze?

Uitati niste poze cu pricina....

links.txt

Edited by Cris
Removed links

Share this post


Link to post
Share on other sites

Incearca o faza...In Firefox descarca Adblock Plus

https://addons.mozilla.org/en-US/firefox/addon/1865

Dai restart la Firefox si incearca sa blochezi reclama aia cu AdBlock.

Apoi in C:\Windows\system32\drivers\etc\ este un fisier hosts fara extensie....deschide-l cu Notepad si da-i paste la continut aici.

Edited by crysty2k5

Share this post


Link to post
Share on other sites

Bannerul ala jegos si chinezesc este oprit datorita adblock-ului ,si acolo la adress scrie asa: <removed> (Nu intrati pe link ca poate va virusati ca mine) type> script (1.js / js= java script? daca da...cum naiba ajunge instalat la mine?)

Insa setup.exe ala care imi apare cateodata cand dau click pe download tot nu a "plecat".

Care sa fie sursa care produce asa ceva? ca imediat dupa format general am bagat doar antivirus+firewall+antispyware+ drivere care sunt programe foarte populare sa zic asa.... iar singurul program care CRED ca imi produc neplacerile astea este programul ala de la czone (acces.czone.ro).

Am facut rost de un internet prin model mobil....in cateva minute o sa dau iarasi un format si o sa ma conectez la internet prin modem sa vad daca problema persista....dar nu....inseamna clar ca ceva din czone e problema insa sper ca cineva are vre'o teorie despre cum D-zeu a ajuns chestia asta chinezeasca instalata la mine in calculator. si nu e nimic gasit ca virus..... e ceva ce vine instalat pe altceva.....habar nu am....poate are cineva o idee mai buna :D

Craciun Fericit in continuare. :D

Asta contine fisierul host.>>>>

# Copyright © 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

links.txt

Edited by Cris
Removed link

Share this post


Link to post
Share on other sites

Tot ce se intampla nu are nicio logica..... eu sincer nu mai inteleg nimic....

Am dar format si m-am conectat la internet prin modem mobil.

Am intrat pe un site care imi apare des banerul in chineza(sa zicem dau vreo 5 refresuri iar din 5, 2-3 sunt SIGUR cu baner in chineza) si aici am dat in jur de 100 de refreshuri si nu a aparut nimic....am intrat si pe altele....totul curat.... am facut rost de programul de conectare la internet de la retea( de la cineva din retea care nu are problemele astea).

Toate bune si frumoase pana cand: am bagat cablu de retea si m-am conectat cu programul asta sa-mi dea drumu la net..... POC , cum de am intrat prima data pe sit-ul ala de am zis ca am dat 100 de refresuri a si aparut pinguinul chinezesc.

Nu are nicio logica, eu sincer nu mai inteleg nimic.

Ce trebuie sa fac, ce pot sa fac? o sa sun la serviciul tehnic dar nici nu stiu cum sa le zic ca la cat de nepasatori sunt probabil o sa zica dupa ce inchide telefonu " iarasi un prost virusat care zice ca e de la noi problema"

Share this post


Link to post
Share on other sites

Situatia e asa: nu ai virus in sistem, si nici nu prea cred ca aplicatia de conectare de la CZone este infectata. Cel mai probabil este o infectie in retea.

In aceeasi retea cu tine, la unul din ceilalti clienti ai CZone ruleaza un malware destul de agresiv, care e capabil sa monitorizeze si sa modifice cererile altor sisteme. Fenomenul se numeste ARP (Address Resolution Protocol) Poisoning.

Pe scurt, in mod normal, traficul pe internet se face in modul urmator:

- tu tastezi o adresa (ex: google.com) in browser

- conectarea efectiva la acel server (Google) nu se face dupa nume, ci dupa IP. Deci browserul mai intai se conecteaza la DNS (Domain Name Server) pentru a rezolva adresa, adica a o transforma din google.com intr-un IP al serverului Google. Procesul se cheama Address Resolution, iar protocolul se numeste ARP (Address Resolution Protocol).

- DNS-ul trimite inapoi browserului adresa IP a Google

- browserul se conecteaza la acel IP

- apoi urmeaza traficul efectiv, pana la inchiderea conexiunii

ARP Poisoning este fenomenul de modificare a cererilor catre DNS, adica:

- tu tastezi o adresa (ex: google.com) in browser

- browserul se contecteaza la DNS pentru a rezolva adresa

- un malware ce ruleaza pe un sistem din aceeasi retea cu tine intercepteaza cererea ta catre DNS, si o modifica in altceva

- browserul primeste raspuns inapoi, insa nu IPul pentru Google, ci IP-ul unui server virusat, care iti va "servi" un malware.

- urmeaza traficul efectiv pana la inchiderea conexiunii

Ideea de baza e: atat timp cat nu descarci nimic de la acel server, nu esti virusat. Toate redirectionarile pe care le primesti se fac din afara sistemului tau (stiu, este o chestie foarte nasoala, de care nu te poti apara).

AdBlock, in cazul tau, te salveaza oarecum, pentru ca blocheaza executia acelui script in Firefox (da, este javascript). Insa nu blocheaza deloc descarcarea acelui script. Mai mult, ARP poisoning NU TINE CONT DE APLICATII!! Acel script, si acel executabil, si orice se mai apeleaza sunt descarcate de orice aplicatie care face cereri catre DNS!, cuma r fi YahooMessenger (poate cel mai vulnerabil program, deoarece ruleaza pe baza de Internet Explorer, si ruleaza tot ce i se baga pe gat), Winamp (cand asculti ceva online), jocuri online, programe care isi cauta update-uri (da, inclusiv BitDefender update), etc...

Cum te poti apara?

- asigura-te ca pana cand problema nu este rezolvata, NU UTILIZEZI PE INTERNET NICIUN FEL DE INFORMATII SENSIBILE, precum parole, conturi bancare, etc... Asa cum ti se monitorizeaza cererile ARP, se pot monitoriza usor si celelate tipuri de trafic, mai ales daca sunt nesecurizate.

- asigura-te ca folosesti aplicatii bine puse la punct, actualizate cu ultimele patch-uri de securitate, inclusiv Update la Windows. Cum am spus, orice program este afectat de aceasta metoda de infectie, insa daca programul nu ruleaza acele fisiere (stie sa le filtreze), atunci esti in siguranta. YahooMessenger ar fi bine sa il eviti pana cand se rezolva problema.

Metodele de mai sus iti ofera o protectie minima. Problema trebuie rezolvata altfel: anume, telefon la asistenta tehnica a CZone, si raportarea acestor lucruri. Tu nu ai ce curata la tine in sistem, toata problema apare de la alt abonat infectat. ISP-ul este obligat sa detecteze sistemul care este infectat, si sa ii refuze accesul la retea pana cand isi rezolva problemele de securitate.

O sa incerc sa contactez un analist BitDefender pentru cateva detalii in plus despre ARP Poisoning. Stiu ca nu exista o metoda de protectie impotriva ei, dar poate exista o metoda de a detecta cine (ce IP din retea) face acest poisoning.

Cris.

Share this post


Link to post
Share on other sites

Multumesc foarte mult pentru informatii , maine la prima ora pun mana pe telefon si sun la asistenta tehnica.

Macar acuma sunt 100% convins ca in calculator la mine nu e ceva..... am mai intalnit o persoana din czone care tot asa , are aceasi problema si la fel ca mine a dat format de o gramada de ori , a bagat o sumedenie de firewall , antivirus, antispy , malware si tot acelasi rezultat, PINGUINI . :)

Multumesc pentru informatii , Sarbatori Fericite.

Share this post


Link to post
Share on other sites

Trebuie avut foarte mare grija cu acet tip de malware, pentru ca este extrem de agresiv si infecteaza imediat orice sistem neprotejat de un antivirus. Firewall-ul este de cele mai multe ori absolut inutil impotriva acestui tip de atac, pentru ca traficul apare (pe buna dreptate) ca fiind facut de o aplicatie legitima, careia i-a fost acordat acces la internet in prealabil.

Astfel de inectii au pus la pamant retele intregi, in special in campusurile universitare (vorbesc din proprie experienta: la Iasi un camin a avut probleme de conectare cateva saptamani din cauza unei infectii masive cu acest tip de malware anul trecut, si nu m-as mira sa se intample la fel si anul asta, din cauza proastei protectii a retelei).

Daca intotdeauna linkul care iti apare este acelasi, poti bloca accesul catre acel IP.

Deschide fisierul hosts (cel pe care l-ai postat si mai sus), si adauga la sfarsit liniile:

127.0.0.1 z.rxnmb.com
127.0.0.1 2.rxnmb.com

De asemenea, poti adauga in firewall o regula de blocare a oricarui trafic spre/dinspre IPul 121.15.220.71

Ce obtii cu asta? Cererile tale tot vor fi redirectionate catre acele destinatii, insa accesul va fi blocat (din hosts, cererile vor fi redirectionate catre sistemul tau, iar firewallul va bloca orice cerere catre IPul direct).

Dar nu vei scapa cu totul de problema, deoarece:

- cand vei da clic pe un link, sau cand vei folosi o aplicatie care are nevoie de conexiune, exista sansa sa primesti erori gen 404-not found (pentru ca traficul a fost blocat). Insa macar nu se vor mai descarca scripturi infectate si alte balarii

- e posibil ca serverul cu pricina (cel infectat) sa aiba mai multe IPuri (pe care nu le stiu), sau mai multe (sub)domenii, pe care nu le stiu... astfel incat ai putea fi redirectinat pe alte pagini cu malware.

Cu alte cuvinte, ce ti-am spus mai sus sunt cateva peticiri care ti-ar putea oferi o oarecare protectie. Rezolvarea problemei trebuie facuta tot cu ajutorul ISPului.

Executabilul care l-ai pozat (in primul post) este deja detectat de BitDefender, deci ar trebui sa fii in siguranta. Scriptul postat nu este inca detectat (si nu stiu inca ce face, pentru ca nu l-am testat), insa l-am trimis la analiza. In curand va fi semnat si el, si va fi blocat de BitDefender in timp real.

Ca o sugestie, iti recomand sa activezi scanarea traficului HTTP din BitDefender (Antivirus -> Custom level -> Scan HTTP Traffic, sau echivalentul in romana). Astfel fisierele infectate vor fi detectate si blocate inainte sa fie efectiv descarcate in sistemul tau.

Cris.

Share this post


Link to post
Share on other sites

woodyman,sunt cateva firewaluri care fac filtrare ARP cum ar fi Outpost-urile(Smart ARP filtering) ,Jetico si Online Armor.Macar un mic ajutor, asa pana se rezolva problema.

Share this post


Link to post
Share on other sites

Mi se pare ca si Comodo Firewall are :)

Share this post


Link to post
Share on other sites

Well...fratele meu are Comodo, sta intr-un camin din Bucuresti, si "beneficiaza" din plin de efectele acetui tip de atac. Deci sunt destul de sigur ca si Comodo este cam inutil. O fi avand ceva protectii, insa nu suficient de puternice.

Despre altele nu ma pronunt, pentru ca nu cunosc pe nimeni care sa le foloseasca.

Cris.

Share this post


Link to post
Share on other sites

Comodo din pacate e mai mult HIPS decat firewall :lol:

PC Tools Firewall 5 vine tare din urma si in plus pe langa faptul ca are un HIPS bun si este free mai are si un SPI capabil.Nu m-am uitat atent in setari dar cred ca are si asta ARP filtering undeva in setari.

Un lucru stiu sigur ,Outpost "se pricepe" putin la ARP filtering si macar pana se rezolva problema poate incerca trialul.

Share this post


Link to post
Share on other sites

am si eu problema asta ... tot din czone sant ... cum scap de el ? :(

Share this post


Link to post
Share on other sites

Salut baieti. Observ ca cei de la Czone nu se sinchisec de problema noastra. Mai jos va prezint cateva link-uri despre "pinguinul" nostru. El se numeste Xorer, i-am aflat numele in urma unei scanari cu BitDefender, dar tot nu am scapat de el. Conexiunea la net a devenit tot mai lenta pana cand nu a mai mers deloc, pc-ul se restarta din senin, si a trebuit sa formatez tot hard-discul. Dupa formatare, surpriza, am instalat BitDfender, dar antivurusul nu a mai detectat "pinguinul". Am incercat mai multe programe antivirus dar fara nici un rezultat. Probabil ca virusul nostru se actualizeaza si el de undeva pt a deveni imun la aplicatiile antimalware, antivirus , etc.

Linck-uri cu "Pinguinul" (NU sunt adrese virusate, sunt rezultate GOOGLE, cautare imagini) :

http://keedes.ucoz.ru/news/2008-02-22-5

85958.jpg

Poate BitDefander ne ofera o solutie, ca cei de la Czone inca "lucreaza" intens la problema asta.

Multumim anticipat

Edited by crysty2k5

Share this post


Link to post
Share on other sites

Am vazut pe un forum autohton ca cica s-ar fi propagat si la Clicknet. eu am Clicknet dar vad ca nimic deocamdata.

Share this post


Link to post
Share on other sites
Am vazut pe un forum autohton ca cica s-ar fi propagat si la Clicknet. eu am Clicknet dar vad ca nimic deocamdata.

Sa inteleg ca deocamdata nu exista o solutie definitiva pt acest virus? La un moment dat, firewal-ul m-a avertizat ca ip-ul meu este ****. Dar acel ip detectet de firewal este diferit de ip-ul meu normal. Exista o posibilitate de a bloca accesul unui anumit ip in sistemul meu? Banuiesc ca este vorba despre ip-ul calculatorului unde ruleaza aplicatia cu pinguinul, cum spunea Cris mai sus. Acel ip a fost detectat de mai multe ori , dar nu am cordat atentie acestui fapt.

Share this post


Link to post
Share on other sites

Incearca niste firewaluri-trial/freeware ca Jetico ,Outpost ,Online Armor ,asta ca sa te tina cateva saptamani ,pana rezolva aia problema.

Astea 3 din cate stiu au ARP filtering calumea,daca nu e activat default , cauti in setari si activezi.

Uite si linkurile, ca sa nu downlodati cine stie ce :

Jetico : http://www.jetico.com/download.htm

Outpost: http://www.tallemu.com/

Online Armor : http://www.agnitum.com/products/outpost/

Sper sa nu le "rada" Crysty2k5 :D

Share this post


Link to post
Share on other sites

Sm3K3R, am incercat cum ai spus, dar pana sa downloadez firewall-ul, deja virusul isi face treaba ,pt care a fost creat :) .Am instalat Online Armour + Bitdefender, a functionat cam 30 min dupa care sistemul a devenit f lent. In cele din urma am dat shoot down.

Share this post


Link to post
Share on other sites

Am gasit o posibila rezolvare(cel putin un user mi-a confirmat)

Jegul asta de exploit nu se lasa usor.

Hai sa vedem daca merge asa:

Descarca: ComboFix si salveaza-l pe Desktop.

Creeaza un fisier nou de tip .txt cu Notepad si scrie in el ce e mai jos in citat:

File::

c:\pagefile.pif

C:\NetApi00.sys

C:\037589.log

C:\AUTORUN.INF

C:\lsass.exe.48247687.exe

C:\WINDOWS\system32\com\smss.exe

C:\WINDOWS\system32\com\netcfg.000

C:\WINDOWS\system32\com\netcfg.dll

C:\WINDOWS\system32\com\lsass.exe

C:\WINDOWS\system32\dnsq.dll

Denumeste fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.

CFScript.gif

Apoi asigura-te ca ai inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si ruleaza ComboFix. Te va intreba daca sa inceapa sa curete sistemul. Confirma cu Yes de fiecare data. Nu-l opri in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu te ingrijora.

La sfarsit va afisa rezultatele scanarii. Salveaza acel fisier si posteaza continutul AICI.

Share this post


Link to post
Share on other sites

Iata ce am constatat eu: dupa ce reinstalat win xp, intamplator am intrat pe internet la ora 3 dimineata (cu win xp )fara sa fi instalat un antivirus in prealabil.Deci sistemnul era nou nout, curat ca lacrima :). Surpriza mare a fost ca totul mergea ca uns, m-am conectat la net in cateva secunde, iar paginile se accesau aproape instantaneu. Totul mergea brici, nici banerul acela chinezesc nu a mai aparut deloc. Am stat aproape pe net aproape o ora. Am zis ca, in sfarsit, cei de la Czone au rezolvat problema. Am inchis compu si la ora 8 AM l-am deschis iar. Surpriza din nou: Pinguinul nostru s-a trezit dupa ce s-a odihnit probabil toata noaptea :) . Inchid computerul si il redeschid la ora 16:00. Acum deja este imposibil sa intru pe net. Aplicatia Czone imi da eroare E450. Am insistat de f multe ori dar fara nici un rezultat.

Postez mai jos continutul scanarii cu ComboFix. Asa cum m-a sfatuit Crysty2k5.

E clar ca cineva din retea ruleaza un program, dar la ora 3 AM doarmea saracu`

ComboFix.txt

Share this post


Link to post
Share on other sites
Iata ce am constatat eu: dupa ce reinstalat win xp, intamplator am intrat pe internet la ora 3 dimineata (cu win xp )fara sa fi instalat un antivirus in prealabil.Deci sistemnul era nou nout, curat ca lacrima :). Surpriza mare a fost ca totul mergea ca uns, m-am conectat la net in cateva secunde, iar paginile se accesau aproape instantaneu. Totul mergea brici, nici banerul acela chinezesc nu a mai aparut deloc. Am stat aproape pe net aproape o ora. Am zis ca, in sfarsit, cei de la Czone au rezolvat problema. Am inchis compu si la ora 8 AM l-am deschis iar. Surpriza din nou: Pinguinul nostru s-a trezit dupa ce s-a odihnit probabil toata noaptea :) . Inchid computerul si il redeschid la ora 16:00. Acum deja este imposibil sa intru pe net. Aplicatia Czone imi da eroare E450. Am insistat de f multe ori dar fara nici un rezultat.

Postez mai jos continutul scanarii cu ComboFix. Asa cum m-a sfatuit Crysty2k5.

E clar ca cineva din retea ruleaza un program, dar la ora 3 AM doarmea saracu`

Iti recomand din nou sa bagi un firewall calumea,si pentru ca zici ca Online Armor n-a fost bun baga un trial de Outpost si activeaza Smart ARP filtering.100% va bloca schimbarea IP-ului.

Share this post


Link to post
Share on other sites

Exista o mica neconcordanta intre ceea ce se intampla efectiv si ceea ce sa descris aici.

Poti incerca cu provider-ul sa setati mac-urile static reciproc.

Astfel la nivel de ARP/MAC pachetele tale vor pleca numai spre echipamentul providerului, si nu te vor mai interesa raspunsuri fictive. si vice versa.

Dece spun "poti incerca", este posibil ca acel sistem infectat sa aiba efectiv setat mac-ul gate-way-ului, caz in care... e mai delicat... si cade exclusiv in mana ISP-ului sa depisteze faptasul.

Desigur poti sa te duci peste provider si sa-i spui bai nene fa ceva, desigur asta nu e cazul cu CZone.

Oricum e problema ISP-ului nu a ta, insa pentru a rezolva mai rapid problema le poti arata acest reply.

Pentru partea tehnica:

Daca sistemul compromis seteaza mac-ul gw-ului, nu prea se poate face nimc, poate STP[spanning Tree Protocol] activat pt detectie si inchis porturi in rest :) ura si la gara

Daca insa sistemul compromis trimite doar ARP-Reply-uri atunci problema se rezolva cu arp -a sau m'a rog specific pt fiecare sistem.

Multa bafta,

Share this post


Link to post
Share on other sites

"Desigur poti sa te duci peste provider si sa-i spui bai nene fa ceva, desigur asta nu e cazul cu CZone" De ce spui ca ca nu e cazul cu Czone? Chiar nu-i intereseaza? (ce-i drept, am sunat la ei de mai multe ori ).

Am facut cum m-a sfatuit Sm3K3R si intradevar, am obtinut rezultate incurajatoare, dar nu pt multa vreme. Am instalat Outpost si am scapat de problema timp de... o ora. Banerul aparea in continuare dar sistemul nu se mai bloca absolut deloc. Am vazut ca si acum firewal-ul imi detecta placa de retea cu un alt ip decat al meu.Este acelasi ip detectat si de ZoneAlarm. Am introdus (manual) ip-ul meu, am activat ARP si am debifat optiunea "detection automatic network" . Totul a functionat perfect, timp de aproxomativ o ora, dupa care nu am mai reusit sa folosesc internetu`. Am restartat, dar fara nici un rezultat. Eu ma intreb, cei da le Czone nu ar trebui sa depisteze automat asemenea aplicatii malware in reteaua lor? Adica, daca un abonat incearca "sa se joace de-a hackerul", nu este deconectat automat, pt a-si proteja ceilalti clientii? Sau asta e SF deja :)

Share this post


Link to post
Share on other sites
"Desigur poti sa te duci peste provider si sa-i spui bai nene fa ceva, desigur asta nu e cazul cu CZone" De ce spui ca ca nu e cazul cu Czone? Chiar nu-i intereseaza? (ce-i drept, am sunat la ei de mai multe ori ).

Am facut cum m-a sfatuit Sm3K3R si intradevar, am obtinut rezultate incurajatoare, dar nu pt multa vreme. Am instalat Outpost si am scapat de problema timp de... o ora. Banerul aparea in continuare dar sistemul nu se mai bloca absolut deloc. Am vazut ca si acum firewal-ul imi detecta placa de retea cu un alt ip decat al meu.Este acelasi ip detectat si de ZoneAlarm. Am introdus (manual) ip-ul meu, am activat ARP si am debifat optiunea "detection automatic network" . Totul a functionat perfect, timp de aproxomativ o ora, dupa care nu am mai reusit sa folosesc internetu`. Am restartat, dar fara nici un rezultat. Eu ma intreb, cei da le Czone nu ar trebui sa depisteze automat asemenea aplicatii malware in reteaua lor? Adica, daca un abonat incearca "sa se joace de-a hackerul", nu este deconectat automat, pt a-si proteja ceilalti clientii? Sau asta e SF deja :)

Cred ca problema trebuie simplificata.

Ceri suport de la firma de net ,le zici ce si cum absolut detaliat si daca nu iau masuri faci sesizare la protectia consumatorului.Nu cred ca e chiar atat de greu sa rezolvi problema daca esti firma lu' peste.

Sfatul meu e sa ceri ajutorul protectiei consumatorului pentru ca nu poti folosi ce platesti.Plus ca in Romania toti au nevoie de un sut in dos ca sa se puna pe treaba :lol:

E hack toata ziua!

Share this post


Link to post
Share on other sites

Bine, se poate rezolva si cu protectia consumatorului. Totusi as fi preferat o solutie software, un program ceva. De ce? Pai,

sa presupunem ca rezolv cu opc-ul, sau schimb furnizoru de internet si apare alt "destept", cu o aplicatie asemanatoare, ce se intampla, iar incepe "distracitia" ? Hmm...

Share this post


Link to post
Share on other sites
Bine, se poate rezolva si cu protectia consumatorului. Totusi as fi preferat o solutie software, un program ceva. De ce? Pai,

sa presupunem ca rezolv cu opc-ul, sau schimb furnizoru de internet si apare alt "destept", cu o aplicatie asemanatoare, ce se intampla, iar incepe "distracitia" ? Hmm...

Treci pe PPpoE (poate chiar la furnizorul actual) si cumpara un router de duzina.N-o sa mai ai probleme.

Edited by Sm3K3R

Share this post


Link to post
Share on other sites