PPArkisto

NTAPI32?

Ongelmat

Sivu 1 / 1

Viestit

Sivu 1 / 1
lehma
Rekisteröitynyt:
11.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 17.46
Nyt jos löytys tietoo, niin kiitollinen olisin, eli; Asensin windowsin uusiks ja sen jäläkeen alako käynnistymmään winin mukana semmonen ohjelma kun, NTAPI32.exe, joka piti hirveetä liikennettä verkossa, lähinnä lähtevää. Poistin sen starttilistalta, missä se oli nimellä: NT Video API32. Ei tuntunu ainakaan näkyvää haittoo olevan konneelle. Mistään en oo löytäny tietoo tuosta ohjelmasta. Auttakee, Kiitän!!
it
Rekisteröitynyt:
02.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 17.50
Muokattu: 12.08.2004 klo 17.54
lainaus:

We are seeing what may be a new variant of SDBot. This variant spreads by
exploiting the LSASS vulnerability. Once infected, the machine joins an IRC
Bot net via TCP 6667. Some of the infected machines then download an
executable via TFTP. This transfer is initiated over IRC. I have attached
the Bintext output and an md5 for the file. The executable is named
NTAPI32.exe and is downloaded to the system32 directory. The exe is 143.03
kb. I tried Symantec, Trend, F-Secure and Sophos...none could identify it.


näemmä uusi uhka lsass:ssa,mikkisofta varmaan päivittää taas...
kandee tarkkailla mikkisoftansivuja..
ATI:Omegadrivers and RadClockerNVidia:Omegadrivers and CoolBits V2.0
lehma
Rekisteröitynyt:
11.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 18.37
Muokattu: 12.08.2004 klo 18.40
Eli eli, vissiin kannattas poistaa tuo ohjelma? Luulis löytyvän tietoo enemmän jos ois joku tärkeekin ohjelma.. Niin kerro vielä mitä tarkotat tuolla mikkisoftalla?
elf
Rekisteröitynyt:
19.08.2002
Kirjoitettu: torstai, 12. elokuuta 2004 klo 18.47
Lainaus:12.08.2004 Mikowiz kirjoitti:
Niin kerro vielä mitä tarkotat tuolla mikkisoftalla?
Microsoft, suhteellisen yleinen nimitys kyseiselle firmalle.
Qui nimium probat, nihil probat.
it
Rekisteröitynyt:
02.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 18.52
joo,pois vaan..on sen verran uus ongelma ettei näemmä
päivityksiä ole vielä tippunut käyttäjille asti.
varmaankin koittavat tälläkin hetkellä vääntää koodia
ongelman korjaamiseksi.
ATI:Omegadrivers and RadClockerNVidia:Omegadrivers and CoolBits V2.0
lehma
Rekisteröitynyt:
11.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 18.52
Ahaa, tämä selevä. Ei ainakaan vielä löydy kyseisestä ohjelmasta mitään sieltä. En tiiä, houkuttas poistoo, jos se ees onnistuu.
it
Rekisteröitynyt:
02.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 18.56
jep,dellaa pois.
todnäk riittää tuo pelkkä exe tiedoston poisto,
tiedä sitten onko tehnyt rekisteriin muutoksia.
jos ei natsaa niin blokkaa exe file palomuurilla.
ATI:Omegadrivers and RadClockerNVidia:Omegadrivers and CoolBits V2.0
lehma
Rekisteröitynyt:
11.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 19.09
Kyllähän tuo lähti pois ainakii ihan kiltisti. Luulis, että ois windows alakanu herjoomaan jos ois ollu tärkee. Oishan se mukava tietää, että mikä ******* se oli(on se roskiksessa vielä).
it
Rekisteröitynyt:
02.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 19.14
Muokattu: 12.08.2004 klo 19.19
virus,tietoturva-aukon luomia ongelmia
ATI:Omegadrivers and RadClockerNVidia:Omegadrivers and CoolBits V2.0
it
Rekisteröitynyt:
02.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 19.17
Muokattu: 12.08.2004 klo 19.19
Backdoor.Sdbot

Backdoor.Sdbot is a Backdoor Trojan horse that allows the Trojan's creator to control a computer by using Internet Relay Chat (IRC). Backdoor.Sdbot can update itself by checking for newer versions over the Internet.

perinteinen troijalainen,uusi variaatio vaan.. pääasiassa ircissä liikkuvien ongelma.
ATI:Omegadrivers and RadClockerNVidia:Omegadrivers and CoolBits V2.0
lehma
Rekisteröitynyt:
11.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 19.24
Toivottavasti ei oo kerinny sikiämmään ympäri konetta jollain tavoin. Ei voinu kyllä olla huomaamatta sen toimintaa kun palomuurikii oli ihan ihmeissään. Ihmetyttää vaan tuo mitä luki starttilistassa; NT Video API32, ei oikein kuulosta vaaralliselta, mutta nii-iin..
it
Rekisteröitynyt:
02.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 19.27
jos tekisit hienon ja edistyneen viruksen niin
nimeäisitkö sen virus.exe:ksi tai
tämä_on_se_missä_kökkii.exe :ksi,luulenpa
ettet.. biggrin
ATI:Omegadrivers and RadClockerNVidia:Omegadrivers and CoolBits V2.0
lehma
Rekisteröitynyt:
11.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 19.33
Eikun laittasin sen nimeks Windows XP. razz
it
Rekisteröitynyt:
02.08.2004
Kirjoitettu: torstai, 12. elokuuta 2004 klo 19.34
se on ärhäkkä troijalainen,
sikiää kun inarilaiset keskenään biggrin
ATI:Omegadrivers and RadClockerNVidia:Omegadrivers and CoolBits V2.0
lehma
Rekisteröitynyt:
11.08.2004
Kirjoitettu: perjantai, 13. elokuuta 2004 klo 11.10
Noniin, nyt löytyy jo jottain tietoo tuosta NTAPI.exe/w32 mikä lie matosesta netissä. Eikä edelleenkään virustutka tunnista. Ja onko microsoftin sivuilla tietoa, ei.
it
Rekisteröitynyt:
02.08.2004
Kirjoitettu: perjantai, 13. elokuuta 2004 klo 11.30
Muokattu: 13.08.2004 klo 11.33
11 August 2004 13:28:09 (GMT)

W32 Ntapi.exe been infected!

Name- W32/Rbot-FW
Type- Worm
How it spreads- Network shares
Vulnerable operating systems- Windows
Side effects- Allows others to access the computer Steals information
-Downloads code from the internet
-Installs itself in the Registry
-Used in DOS attacks
Aliases -WORM_RBOT.GL,Backdoor.Rbot.gen
Protection- Download virus identity (IDE) file
Protection available- since 11 August 2004 13:28:09 (GMT)
Locate the HKEY_LOCAL_MACHINE entries:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
NT Video API32 = NTAPI32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
NT Video API32 = NTAPI32.exe

and remove any reference to any file you deleted.

Each user has a registry area named HKEY_USERS[code number indicating user]. For each user locate the entry:

HKCU[code number]SoftwareMicrosoftWindowsCurrentVersionRun
NT Video API32 = NTAPI32.exe

and delete it if it exists.

Close the registry editor.

Check your administrator passwords and review network security.

keskiviikosta lähtien ollut ainakin muutamilla virustorjuntaohjelmilla poisto-ohjeet & päivitykset virus databaseen.
ATI:Omegadrivers and RadClockerNVidia:Omegadrivers and CoolBits V2.0
Sivu 1 / 1