» »

ZeroAccess Rootkit infection

ZeroAccess Rootkit infection

premafx ::

Je tukaj kakšen heker,ki ve kako se znebim tega vraga? Gre za corkingsearchsystem.com, aktivira se v Firefoxu na Windows XP, če kaj iščem v googlu.
Spynomore mi je sporočil, da gre za ZeroAccess Rootkit infection, najde, vendar ne odstrani, ker je plačljiv program. A obstaja kakšen zastonj program, ki zna takšnega trojanca odstranit?
Zgleda, da gre za novo zadevo, google najde samo tole.
  • spremenil: premafx ()

DeeCoy ::

Antimalwarebytes

Bolf3nk ::

malwarebytes
Emsisoft Anti-Malware
SUPER AntiSpyware

premafx ::

Hvala obema,za SUPER Antispyware vem, da ga ne najde, ostale pa še nisem sprobal.

premafx ::

Sem sprobal par programov, pa ne morem nobenega pognat, ker mi vse zablokira, nekatere sesuje pri scanu. Potem se zagnal Safe mode in isto. Če pogledam procese, je med njimi en, ki je neka dolga števlka in ga ne morem ubiti s task managerjem. S katerim programom pa lahko skeniram in pobijem te malware, še preden se Windowsi naložijo?

StoneFox ::

Avast bootscan.

premafx ::

sam si ziher, da najde kaj, ker free verzija antivirusa, ni nič našla

amigo_no1 ::

premafx ::

Aviro imam zdaj gor nameščeno, pa ni nič našel. Rabim zadevo, ki ima veliko definicij podprtih,kot npr. SUPER AntiSpyware, samo mora skenirat preden se sistem naloži.

amigo_no1 ::

Klikni link, ki sem ga dal, kjer boš ugotovil da ne gre za isto stvar.

hint: offline bootcd scan

knesz ::

Combofix.

Wox ::

Z offline AV scanom boš dobil unbootable sistem.

Source se ponavadi skriva tule:

C:\WINDOWS\$NtUninstallKB*****$


Not je neki tacga:

File C:\WINDOWS\$NtUninstallKB43093$\2497276203 0 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740 0 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\@ 2048 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\click.tlb 2144 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\L 0 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\L\pdmzmplg 73288 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\loader.tlb 2540 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U 0 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@00000001 45968 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@000000c0 3584 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@000000cb 2048 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@000000cf 1536 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@80000000 26112 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@800000c0 35840 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@800000cb 27648 bytes
File C:\WINDOWS\$NtUninstallKB43093$\4035880740\U\@800000cf 27648 bytes


Večinoma inficira legitimne gonilnike. Zelo rad ima AV fajle,

Ponavadi je prisoten tudi ADS, kise zažene ob zagonu. Neki tacga:
PRC - File not found -- C:\WINDOWS\3523697396:195426349.exe


Skoraj vedno inficira tudi tegale:
\globalroot\systemroot\system32\mswsock.dll


Zadnja verzija Combofixa je precej učinkovita pri odstranitvi ZA. Pred zagonom CF-ja obvezno odstrani AV in realtime Spyware programe.
Commodore 64

amigo_no1 ::

Z offline AV scanom boš dobil unbootable sistem.

Zakaj ?
Še vedno lahko potem narediš tudi windows install, repair...

Wox ::

Torej lahko kar preskoči offline scan in gre na novo inštalirat v prvo.
Commodore 64

premafx ::

Hvala obema,bom najprej probal Combofix.

amigo_no1 ::

Čakam na pojasnilo zakaj.

Repair
http://www.michaelstevenstech.com/XPrep...

btw, kako misliš učinkovito zaznati&počistiti svinjarijo, ki se naloži istočasno kot ntfs.sys/tcpip.sys in podobni sistemski moduli mi ni jasno.
Kot bi šel lovit rač. virus, ko je le ta zagnan.

premafx ::

sem pognal Combofix in mi je cel računalnik zamrznil, še prej pa je crknil internet :)

DeeCoy ::

kaj, ko bi na novo naložil sistem?

Wox ::

@amigo_no1

Učinkovito odstrani ZA. Poskuša najti neinficirano kopijo fajla in ga zamenja. Ponavadi ni gor le ZA, ampak še cel kup nesnage npr. TDL4 al kaj podobnega. Potrebna je temeljita analiza pred kakršnim koli odstranjevanjem. Pred samim zagonom CF-ja je potrebno ponavadi postoriti še marsikaj. Na domačih računalnikih ki se uporabljajo več ali manj za igre pa socialna omrežja je seveda format in clean install najboljša opcija, ki jo zagovarja tudi MS.
Commodore 64

premafx ::

Ja, format bo najboljša opcija. Hvala vsem.

premafx ::

Odločil sem se, da bom nadgradil sistem na Windows 7, ne nadgradil ampak na novo namestil. Zanima me, kateri antivirus priporočate za ta sistem, da ne bodo spet težave s trojanci...?

DeeCoy ::

avast
Uporabljam ga od kar se spomnem, pa še nisem imel virusa.

knesz ::

DeeCoy je izjavil:

avast
Uporabljam ga od kar se spomnem, pa še nisem imel virusa.

Vsaj ne da bi vedel, ne?
Če ne veš da ga imaš, potem ga nimaš :)

DeeCoy ::

Doma imamo kar precej veliko mrežo, prej je bil na vseh mašinah licenčni F-Secure, ki pa se ni obnesel, saj precej upočasni računalnik (nekateri so stari). Potem sem na vseh mašinah šel na free avast in do sedaj še ni bilo zaznane okužbe, oz. je avast blokiral sumljive datoteke, pa še račualnika praktično ne obremenjuje. Res ga priporočam.

knesz ::

DeeCoy je izjavil:

Doma imamo kar precej veliko mrežo, prej je bil na vseh mašinah licenčni F-Secure, ki pa se ni obnesel, saj precej upočasni računalnik (nekateri so stari). Potem sem na vseh mašinah šel na free avast in do sedaj še ni bilo zaznane okužbe, oz. je avast blokiral sumljive datoteke, pa še račualnika praktično ne obremenjuje. Res ga priporočam.


Hočem povedati, da če okužba ni zaznana, to še ne pomeni da je ni. In pri skrivanju so rootkiti še posebej uspešni

DeeCoy ::

Ja, to je seveda res, ampak načeloma se ne okužiš, če ne brskaš vsepovsod in ne vtikaš svojega ključka v vse možne računalnike na svetu.

knesz ::

DeeCoy je izjavil:

Ja, to je seveda res, ampak načeloma se ne okužiš, če ne brskaš vsepovsod in ne vtikaš svojega ključka v vse možne računalnike na svetu.

Spet ne drži.
Vsaj za dve slovenski strani vem, da so bile okužene in nameščale razno nesnago po računalnikih. Na mojih strežnikih, joomla/slaba gesla lastnikov strani. Strani priznanih firm in strani ki so bile dobro obiskane.
Tako da se načeloma lahko okužiš tudi če ne brskaš vsepovsod.

DeeCoy ::

No okej, ampak to se ne dogaja vsak dan. Včasih virusa sploh ne opaziš, čeprav laufa v ozadju.

premafx ::

Pa saj ta zadeva pri meni je bila praktično nevidna. Samo malo dlje je trajalo, da se je odprla stran, ki je bila rezultat iskanja v googlu. Spodaj v vrstici v Mozili sem opazil, da gre preko strani corkingsearchsystem.com, če nisi pozoren sploh ne vidiš.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Undo za ComboFix

Oddelek: Pomoč in nasveti
181754 (1519) MrStein
»

Windows 7 - filanje diska C:

Oddelek: Operacijski sistemi
232556 (2152) amigo_no1
»

windows update

Oddelek: Operacijski sistemi
141860 (1771) bluefish
»

Nepotrebni fajli?

Oddelek: Programska oprema
91227 (1117) Storm
»

Koliko zasedejo Windowsi

Oddelek: Operacijski sistemi
101200 (1044) Microsoft

Več podobnih tem