|
TwojePC.pl © 2001 - 2025
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
złośliwy wirus , remus 23/03/06 15:09
jest neostrada + kerio i avast, jakieś ścierwo wysyła pakiety , nie można podejrzeć co, bo zaraz postarcie kompa kerio znika(ręcznie nie uruchamia się), kombinacja ctrl+alt+del również po sekundzie ukrywa się, sprawdzenie w trybie awaryjnym spybotem i adwarem nic nie pokazuje, hijackthis też nie , może miał ktoś podobny przypadek i wie jak zlokalizować to ścierwo, lub zna na nie metodę- moze awaryjny ?? , biEski 23/03/06 15:33
j.w - trzeba było , celt 23/03/06 16:20
cracki ściagać? ;)
Pewnie przez IE się dostało...
1. Na początek odpal msconfig i zobacz jakie programy uruchamiają się przy
starcie Win, jeżeli zobaczysz jakiś podejrzany to go out
2. Zainstaluj sobie Ad-aware personal i puść skanaEverything should be made as simple as
possible, but no simpler - oczywiscie w awaryjnym :> , biEski 23/03/06 16:46
j.w
- To nie złośliwy wirus , JOTEM 23/03/06 16:47
o nie... to wyglada na rootkita.
Najpierw przedstaw tu logi z HijackThis.
O trybie awaryjnym zapomnij - to tylko na najgłupsze rootkity działa.
Dosyć dobrym rozwiazaniem jest przeniesienie dysku i uruchomienie serii skanerów na innym komputerze, to czasem pomaga (jak skaner zna rootkita). Jak w ten sposób zapuszczone skanery nic nie wykryją i jak HijackThis nic podejrzanego nie pokazuje, to reinstaluj system. Szybciej wtedy przeinstalujesz niż usuniesz.Poryjemy..zrobaczymy - aha , JOTEM 23/03/06 16:48
dla mnie przebojem sezonu jest skaner Ewido. Na głowę (totalnie) pobił wszystkie inne skanery i wynalazki, ale tak jak mówię - po wymontowaniu dysku na innym komputerze.Poryjemy..zrobaczymy
- Taki "mały" tutorial , JOTEM 23/03/06 16:56
Jedynie pewne niedopatrzenia ich (rootkitow) autorów mogą powodować, że aplikacje do usuwania rootkitów i skanery, takie jak Rootkit Revealer czy BlackLight ,są w stanie wykryć rootkit w systemie przez niego opanowanym.
Każda aplikacja uruchamiana po zainstalowaniu rootkita będzie działać pod kontrolą tego złośliwego oprogramowania. Rootkit może dowolnie przejmować wywołania systemowe i podsuwać skanerowi takie dane, jakich ten oczekuje od "zdrowego" systemu. Autorzy skanera mogą w kolejnej wersji znaleźć miejsca, o których zapomnieli autorzy rootkita, i tam z kolei szukać jego śladów. Luka ta może z kolei zniknąć w kolejnej wersji rootkita - i tak bez końca. W tym wyścigu zbrojeń rootkit jest zawsze górą, ponieważ to on trafia do sieci jako pierwszy i w trakcie krótkiego "okresu swobody" może czynić szkody.
Istnieje jednak technika, która nie polega na żadnych wykrywaczach rootkitów, a na specyficznych właściwościach tych ostatnich oraz cechach systemu operacyjnego. W sytuacji gdy skaner działający w potencjalnie zarażonym systemie jest niewiarygodny, należy sprawdzić system ze środowiska, które na pewno jest "czyste". Pewnym rozwiązaniem jest uruchomienie na danym komputerze systemu z płyty CD z antywirusem i przeskanowanie dysku podejrzanego systemu. Stwarza to jednak wiele problemów praktycznych, po pierwsze związanych z aktualnością bazy antywirusa, a po drugie z czasem trwania skanowania.
Opracowana w ramach prowadzonego przez Microsoft projektu Strider metoda Ghostbuster Rootkit Detection wykorzystuje główną cechę rootkitów, jaką jest ukrywanie przez nie plików w systemie do ich wykrywania. Największa "zaleta" rootkitów staje się ich największą słabością. Technika ta polega na porównaniu listy plików wygenerowanej przez rootkit w zarażonym systemie z listą plików w systemie uruchomionym ze zdrowego systemu.
Ponieważ w bardzo krótkim czasie liczba plików obecnych w systemie nie zmienia się radykalnie, porównując listę plików wygenerowaną w stanie zarażonym oraz w stanie zdrowym, jesteśmy w stanie wykryć te, które zostały celowo ukryte. Będą to te pliki, które pojawiły się pomiędzy wykonaniem listingu systemu zdrowego i listingu systemu potencjalnie zarażonego rootkitem. Przez system zdrowy rozumiemy tutaj system operacyjny uruchomiony z pewnego, czystego nośnika, ale mający dostęp do "podejrzanego" systemu plików. Procedura badawcza jest następująca:
(1) listujemy wszystkie pliki w zakażonym systemie i zapisujemy listing do pliku A,
(2) uruchamiamy czysty system z CD i z tego systemu powtarzamy listing plików na dysku systemu zarażonego, zrzut zapisujemy do pliku B,
(3) porównujemy pliki A i B, wszystkie poważniejsze różnice to najprawdopodobniej rootkit.
Tak usunąłem swojego rootkita - żaden skaner go nie znał.Poryjemy..zrobaczymy
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2025, TwojePC.PL |
 |
|
|
|
