Forum » Pomoč in nasveti » ZeroAccess Rootkit infection
ZeroAccess Rootkit infection
premafx ::
Je tukaj kakšen heker,ki ve kako se znebim tega vraga? Gre za corkingsearchsystem.com, aktivira se v Firefoxu na Windows XP, če kaj iščem v googlu.
Spynomore mi je sporočil, da gre za ZeroAccess Rootkit infection, najde, vendar ne odstrani, ker je plačljiv program. A obstaja kakšen zastonj program, ki zna takšnega trojanca odstranit?
Zgleda, da gre za novo zadevo, google najde samo tole.
Spynomore mi je sporočil, da gre za ZeroAccess Rootkit infection, najde, vendar ne odstrani, ker je plačljiv program. A obstaja kakšen zastonj program, ki zna takšnega trojanca odstranit?
Zgleda, da gre za novo zadevo, google najde samo tole.
- spremenil: premafx ()
premafx ::
Sem sprobal par programov, pa ne morem nobenega pognat, ker mi vse zablokira, nekatere sesuje pri scanu. Potem se zagnal Safe mode in isto. Če pogledam procese, je med njimi en, ki je neka dolga števlka in ga ne morem ubiti s task managerjem. S katerim programom pa lahko skeniram in pobijem te malware, še preden se Windowsi naložijo?
premafx ::
Aviro imam zdaj gor nameščeno, pa ni nič našel. Rabim zadevo, ki ima veliko definicij podprtih,kot npr. SUPER AntiSpyware, samo mora skenirat preden se sistem naloži.
amigo_no1 ::
Klikni link, ki sem ga dal, kjer boš ugotovil da ne gre za isto stvar.
hint: offline bootcd scan
hint: offline bootcd scan
Wox ::
Z offline AV scanom boš dobil unbootable sistem.
Source se ponavadi skriva tule:
Not je neki tacga:
Večinoma inficira legitimne gonilnike. Zelo rad ima AV fajle,
Ponavadi je prisoten tudi ADS, kise zažene ob zagonu. Neki tacga:
Skoraj vedno inficira tudi tegale:
Zadnja verzija Combofixa je precej učinkovita pri odstranitvi ZA. Pred zagonom CF-ja obvezno odstrani AV in realtime Spyware programe.
Source se ponavadi skriva tule:
C:\WINDOWS\$NtUninstallKB*****$
Not je neki tacga:
File C:\WINDOWS\$NtUninstallKB43093$\2497276203 0 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740 0 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\@ 2048 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\click.tlb 2144 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\L 0 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\L\pdmzmplg 73288 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\loader.tlb 2540 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U 0 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@00000001 45968 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@000000c0 3584 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@000000cb 2048 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@000000cf 1536 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@80000000 26112 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@800000c0 35840 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@800000cb 27648 bytes File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@800000cf 27648 bytes
Večinoma inficira legitimne gonilnike. Zelo rad ima AV fajle,
Ponavadi je prisoten tudi ADS, kise zažene ob zagonu. Neki tacga:
PRC - File not found -- C:\WINDOWS\3523697396:195426349.exe
Skoraj vedno inficira tudi tegale:
\globalroot\systemroot\system32\mswsock.dll
Zadnja verzija Combofixa je precej učinkovita pri odstranitvi ZA. Pred zagonom CF-ja obvezno odstrani AV in realtime Spyware programe.
Commodore 64
amigo_no1 ::
Z offline AV scanom boš dobil unbootable sistem.
Zakaj ?
Še vedno lahko potem narediš tudi windows install, repair...
amigo_no1 ::
Čakam na pojasnilo zakaj.
Repair
http://www.michaelstevenstech.com/XPrep...
btw, kako misliš učinkovito zaznati&počistiti svinjarijo, ki se naloži istočasno kot ntfs.sys/tcpip.sys in podobni sistemski moduli mi ni jasno.
Kot bi šel lovit rač. virus, ko je le ta zagnan.
Repair
http://www.michaelstevenstech.com/XPrep...
btw, kako misliš učinkovito zaznati&počistiti svinjarijo, ki se naloži istočasno kot ntfs.sys/tcpip.sys in podobni sistemski moduli mi ni jasno.
Kot bi šel lovit rač. virus, ko je le ta zagnan.
Wox ::
@amigo_no1
Učinkovito odstrani ZA. Poskuša najti neinficirano kopijo fajla in ga zamenja. Ponavadi ni gor le ZA, ampak še cel kup nesnage npr. TDL4 al kaj podobnega. Potrebna je temeljita analiza pred kakršnim koli odstranjevanjem. Pred samim zagonom CF-ja je potrebno ponavadi postoriti še marsikaj. Na domačih računalnikih ki se uporabljajo več ali manj za igre pa socialna omrežja je seveda format in clean install najboljša opcija, ki jo zagovarja tudi MS.
Učinkovito odstrani ZA. Poskuša najti neinficirano kopijo fajla in ga zamenja. Ponavadi ni gor le ZA, ampak še cel kup nesnage npr. TDL4 al kaj podobnega. Potrebna je temeljita analiza pred kakršnim koli odstranjevanjem. Pred samim zagonom CF-ja je potrebno ponavadi postoriti še marsikaj. Na domačih računalnikih ki se uporabljajo več ali manj za igre pa socialna omrežja je seveda format in clean install najboljša opcija, ki jo zagovarja tudi MS.
Commodore 64
premafx ::
Odločil sem se, da bom nadgradil sistem na Windows 7, ne nadgradil ampak na novo namestil. Zanima me, kateri antivirus priporočate za ta sistem, da ne bodo spet težave s trojanci...?
knesz ::
DeeCoy ::
Doma imamo kar precej veliko mrežo, prej je bil na vseh mašinah licenčni F-Secure, ki pa se ni obnesel, saj precej upočasni računalnik (nekateri so stari). Potem sem na vseh mašinah šel na free avast in do sedaj še ni bilo zaznane okužbe, oz. je avast blokiral sumljive datoteke, pa še račualnika praktično ne obremenjuje. Res ga priporočam.
knesz ::
Doma imamo kar precej veliko mrežo, prej je bil na vseh mašinah licenčni F-Secure, ki pa se ni obnesel, saj precej upočasni računalnik (nekateri so stari). Potem sem na vseh mašinah šel na free avast in do sedaj še ni bilo zaznane okužbe, oz. je avast blokiral sumljive datoteke, pa še račualnika praktično ne obremenjuje. Res ga priporočam.
Hočem povedati, da če okužba ni zaznana, to še ne pomeni da je ni. In pri skrivanju so rootkiti še posebej uspešni
DeeCoy ::
Ja, to je seveda res, ampak načeloma se ne okužiš, če ne brskaš vsepovsod in ne vtikaš svojega ključka v vse možne računalnike na svetu.
knesz ::
Ja, to je seveda res, ampak načeloma se ne okužiš, če ne brskaš vsepovsod in ne vtikaš svojega ključka v vse možne računalnike na svetu.
Spet ne drži.
Vsaj za dve slovenski strani vem, da so bile okužene in nameščale razno nesnago po računalnikih. Na mojih strežnikih, joomla/slaba gesla lastnikov strani. Strani priznanih firm in strani ki so bile dobro obiskane.
Tako da se načeloma lahko okužiš tudi če ne brskaš vsepovsod.
DeeCoy ::
No okej, ampak to se ne dogaja vsak dan. Včasih virusa sploh ne opaziš, čeprav laufa v ozadju.
premafx ::
Pa saj ta zadeva pri meni je bila praktično nevidna. Samo malo dlje je trajalo, da se je odprla stran, ki je bila rezultat iskanja v googlu. Spodaj v vrstici v Mozili sem opazil, da gre preko strani corkingsearchsystem.com, če nisi pozoren sploh ne vidiš.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Undo za ComboFixOddelek: Pomoč in nasveti | 1705 (1470) | MrStein |
| » | Windows 7 - filanje diska C:Oddelek: Operacijski sistemi | 2529 (2125) | amigo_no1 |
| » | windows updateOddelek: Operacijski sistemi | 1830 (1741) | bluefish |
| » | Nepotrebni fajli?Oddelek: Programska oprema | 1202 (1092) | Storm |
| » | Koliko zasedejo WindowsiOddelek: Operacijski sistemi | 1179 (1023) | Microsoft |