másik: ezt már egy ismerősöm is bekapta egyszer (valószínűleg ugyanez lehetett), az avast nem szedte le, ugyanazokat végigjártam, mint a lentebb leírtakban.
nekem végül csak az újratelepítés segített.
előtte esetleg kapj elő egy linux live CD-t (ubuntu jó lesz), és boot után mountold fel a windowsos file-rendszert, és nézz körül legalább a gyökérkönyvtárban, nincs-e nem oda való rejtett állomány.
meg megpróbálhatod betenni egy garantáltan vírusmentes, vírusvédelemmel ellátott gépbe egy USB-s winchester kerettel, és futtass rajta vírus-ellenőrzést így is.
A nevéből ítélve ez a filerendszerek felcsatolásáért lesz felelős, nem tudom, jó ötlet-e eltávolítani. Amúgy a kártékony kódok elleni védekezés első lépése, hogy nem admin joggal használod a gépet. A másik lehetőség, hogy nem használsz Windows-t. De az igazi a kettő együtt: nem Windows-on tisztességes jogosultság-kezelést használni.
Végül be tudtam lépni, csak engedélyeztetni kellett magamnak a megnyitását:)
Egyébként kilőttem a rendszer-visszaállítást, töröltem az előzményeket, az átmeneti internet fájlokat, majd csökkentett módban átfésültettem a meghajtókat NOD-dal, majd SpyBot-tal, szóval most elméletileg (és remélhetőleg) tiszta a gépem.
Ismét én:) Egy gyors kérdés. A NOD32 egyetlen fájlt talál fertőzöttnek, amit viszont nem tud törölni, és én sem tudom az illető fájlt kézzel törölni, ugyanis a System Volume Information nevű rejtett rendszermappában van, amit nem enged a gép megnyitni (TC-ből próbáltam, mert csak az jeleníti meg), annak dacára sem, hogy próbáltam átállítgatni a mappák tulajdonságait, de mindhiába. Van valami ötletetek esetleg hogyan nyissam meg azt a francos mappát, vagy töröljem valahogy a fertőzött fájlt?
Előre is köszi!
Az előző hozzászólásokra:
harpokratesz: Most már fölösleges töröltetni a linket, hisz' már hál'isten tiszta a honlap:) Különben is, valóban kérésre szúrtam be a linket, ráadásul előtte le lett írva, ki lett fejtve, hogy mi a problémám, hogy fertőzött a honlap, tehát nem igazán mondhatod, hogy csak úgy mindenféle előzmény nélkül lett berakva ide.
Nemrossz: A NOD32 folyamatosan frissíti magát naponta, de ennek ellenére (a jelek szerint) mégis beengedte a vírust. (Bár fene tudja, még mindig kétséges, hogy valóban a gépemről fertőződött meg a honlap.)
A HTML leíró nyelvbe - vagy akár külön file-ba - lehet írni olyan kódokat, amelyet a böngésző interpretere értelmez és futtat. Ezek a kliens oldali programok java script-ek.
Hűha srácok, kezd számomra kínaiul hangzani ez a sok minden, én azért ennyire nem vagyok benne az informatika eme mélységeiben (mi a túró az a script?), simán fogtam a Dreamweaver nevű progit, és azzal csináltam meg a honlapomat olyanra, amilyenre minimális hozzáértésem mellett tellett tőlem... :-))
Tényleg sajnálom, ha valaki beszívott valami mocskot a honlapomról, de higgyétek el, már engem is baromira idegesít, hogy mi a franc lehet ez. Egyébként lehet, hogy locsemegének lesz a végén igaza, és a gépem vírusos, és ettől lesz a honlap kezdőlapja is vírusos, mindenesetre most kipróbáltam, hogy a munkahelyi gépemről töltöttem fel az index.htm fájlt, és nekem most perpillanat nem jelez be, szóval remélem ez volt a dolog nyitja. Viszont akkor ez azt jelenti, hogy a hülye NOD32, meg a Spyware Doctor az otthoni gépemen valamit nagyon elnéztek...
A comment-be tétel az szokás, hogy a böngésző HTML interpretere ne értelmezze. Gondolom, azon böngészőknél számít, amelyek nem ismerik a <script> tag-et. A comment végét pedig javascript szempontból kommentezik ki, hogy a javascript interpretert ne zavarja:
// -->
Ez a része nem hülyeség, de a type attributum valóban kötelező.
Kolléga azt mondja, hogy valamit nagyon durván beszopott erről az oldalról. Nekem meg nincs hozzá cuccom, de ha a forrását el bírod nekem tolni, akkor eléggé érdekelne, mert _állítólag_ 7-es Explorer, updatelt gép, és nem kérdezett semmit, csak megnézés után megborult. Vírusölő persze nem volt, a többit meg ki tudja, hogy mi volt engedélyezve.
A hit.gemius.pl valami statisztikai célú nyomkövető lehet, legalábbis elég sok oldalon találkoztam már vele. Én kissé elnézőbb vagyok a cookiekkal, nagy többségük teljesen ártalmatlan. Ha nekik jólesik eltárolni, hogy pl. mikor, hányszor léptem be valahová, tegyék, nem zavar. :-D
Ha le tudják cserélni a tartalmat, az kétféleképpen lehetséges: vagy tudják az ftp-hez a jelszavad, vagy feltörték a szervert.
Szerintem nem kicserélik a tartalmat, hanem valami szimplán beépül a kérdéses html fájlba... Azért gondolom, mert egyszer megnéztem, és láttam, hogy ilyenkor a lap kódsorában van egy szakasz, aminek nem kéne ott lennie.
Ez hülyeség, abban a pillanatban, ahogy lecseréled, a szerver az új oldalt szolgáltatja. Vélhetően böngésző cache-ből jött a csere előtti oldal, de tegyük fel, vagy annyira rutinos, hogy törlöd ilyenkor a böngésző cache-t.
Persze, ez volt első dolgom. De ez sem segített rajta. Nyomogottam a frissítés gombot is, újraindítottam a gépet, de semmi. Sőt, a húgom laptopjával és az egyik haver gépéről is megnéztem, és az övékéről is még a vírusos lapot mutatta, holott a tárhelyen már rég ki volt cserélve az illető fájl. Még azt is kipróbáltam, hogy mindent leszedtem a tárhelyről. Mit gondolsz mi történt? Az illető lapot továbbra is behozta (nem csak az én gépemről nézve, ezt hangsúlyozom), pedig a tárhely totál üres volt!
Szóval mondom, legalább egy nap kell, mire a szerver felfogja a cserét, vagy én nem tudom mi van, de az tény, hogy valami itt nagyon nem stimmel. Persze mindegy is, már látom, hogy ezzel sem megyek sokra ezután, tegnap ugyanis megint lecseréltem a lapot, és bár ma délután még nem jelzett a vírusriasztóm, viszont most éjszaka már ugyanúgy megint vírust érzékel azon az egy lapon. Ennyi, fél nap kellett a rohadéknak az újrabeépüléshez... :-((((
Remélem, a megfelelő topikot választottam, ha nem, elnézést.
Tegnap befészkelte magát a Tálcám jobb alsó sarkába (óra mellett) egy "antispycheck" ikon, ami kb. 5 percenként egy "System Alert" című buborékkal hozza rám az idegbajt.
Norton Internet Security 2008-asom van, ami letiltotta ugyan az alkalmazást, de az ominózus ikon a buborékkal nem tűnt el, és a böngészőm is lassult, igaz, alig észrevehetően... A Symantec oldalán javasolt regedit-es írtások nem működnek, a megadott, kiírtandó kulcsok már nem találhatóak sehol. Volt mélyreható vizsgálat is, de az sem talált semmit...
Segítséget kérek, pl. javaslatot egy olyan eszközre, ami ki tudja írtani ezt a kis rohadékot a gépemről. Amúgy sztem akor "kaptam be", amikor a NIS2008-előfizetés lejártával felmentem a netre tegnap (azóta már megújítottam).
Ha le tudják cserélni a tartalmat, az kétféleképpen lehetséges: vagy tudják az ftp-hez a jelszavad, vagy feltörték a szervert. Az előbbi esetre gyógyír a jelszavad lecserélése, az utóbbira pedig az, hogy szólsz a tárhelyszolgáltatódnak, hogy rázza gatyába a szervert.
Mellesleg ha fertőzött a géped, lehet, hogy összeszedi a jelszavaidat, így változtatás után is meglesz a támadónak a szerverre a jelszavad. Egy lehetséges gyógyír: ne használj Windows-t.
Ráadásul mostanában miután kicserélem a lapot, legalább egy-két napba beletelik, míg a hálózat "felfogja", hogy megtörtént a csere, és nem a vírusos lapot kéne megnyitni, hanem már a kicserélt fájlt, vagyis azt, ami ténylegesen fenn van a tárhelyen...
Ez hülyeség, abban a pillanatban, ahogy lecseréled, a szerver az új oldalt szolgáltatja. Vélhetően böngésző cache-ből jött a csere előtti oldal, de tegyük fel, vagy annyira rutinos, hogy törlöd ilyenkor a böngésző cache-t.
A problémám a következő. A honlapom kezdőlapjába folyton beépül valami kis rohadék vírus (vagy mifene), amitől aztán a vírusriasztóm (illetve nem csak az enyém, hanem már mások is jelezték, hogy a lap megnyitásakor az övék is) rögtön kiveri a balhét. Ilyenkor azt szoktam csinálni, hogy egyszerűen újra feltöltöm a kérdéses html fájlt (vagyis felülírom a tárhelyen fennlévővel), és akkor egy darabig megint nincs gond, de ez a szemét vírus egy idő után mindig megjelenik újra. Ráadásul mostanában miután kicserélem a lapot, legalább egy-két napba beletelik, míg a hálózat "felfogja", hogy megtörtént a csere, és nem a vírusos lapot kéne megnyitni, hanem már a kicserélt fájlt, vagyis azt, ami ténylegesen fenn van a tárhelyen...
A kérdésem az lenne, hogy mit lehetne ez ellen a vírus ellen tenni? Mert ha ez a csere ugyanúgy működne, mint régen, akkor nem is izgatna a dolog, mert hát nagy ügy, legfeljebb minden héten újra feltölteném a kérdéses lapot, viszont nekem olybá tűnik, hogy a helyzet csak egyre romlik, mintha a vírus szép lassan teljesen befészkelné magát a tárhelyre. (Egyébként továbbra is csak és kizárólag a kezdőlapnál visít a vírusriasztó, ha mondjuk a fórumot, vagy egy aloldalt nyitok, ott nem jelez semmit.)
Az Indexen szeretik tudni, honnan merre mész a böngészővel. Én gorombább vagyok, alapból minden cookie-t tiltok, s csak azokat engedélyezem, amelyek feltétlenül kellenek. Ez persze kényelmetlenségekkel jár, mert vannak oldalak, amelyek ezért alapból nem működnek, de ekkor rutinosan eszembe jut, hogy engedélyezzem a cookie-kat, de csak arra az oldalra, és nem 2013-ig, hanem csak az adott session-ben.
