» »

Virus - kako resiti sistem?

Virus - kako resiti sistem?

SaXsIm ::

Pozdravljeni,

vceraj se mi je sistem (win7) zacel obnasati izjemno cudno, prva stvar, ki sem jo opazil, je bilo nedelovanje avasta. Po neuspesnih zagonih, updejtu in neizvedbi boot time scana, mi je bilo jasno, da imam okuzen sistem. Izbrisal sem vsa gesla, shranjene dostope, skratka vse, in pricel z resevanjem sistema.

Poskusil sem z Avira rescue CDjem (brez uspeha), bitdefender rescue CDjem (je nasel nekaj virusov, jih odstranil, toda sistem se vedno ne deluje tako, kot je treba), tako da sedaj poskusam s knoppixom, v katerem poganjam Clam. Sicer je se v skeniranju, vendar je nasel nenormalno stevilo threatov (cez 300?!?).

Sistem je licencen W7ultimate, redno posodabljan. Uporabljam avast (free), ki se prav tako redno posodablja. Pocel nisem nic taksnega (preizkusal sem razlicne racunovodske programe - vse stvari so izgledale legit, potegnjene iz preverjenih mest). Nimam se ravno za neukega uporabnika, pazim pri nalaganju zadev in obiskovanju spletnih mest, tako da mi resnicno ni jasno, kako je do te okuzbe prislo. Delno sem razocaran tudi nad avastom, saj se mi je kljub uporabi ze veckrat zgodilo (na razlicnih racunalnikih), da je spregledal zlonamerno kodo.

Kaksne zadeve pa vi uporabljate za resevanje sistemov? Ima kdo kaksen predlog antivirusnih resitev, ki tecejo na linuxu? Kot ze omenjeno, trenutno tece Clam, kasneje poskusim se z bitdefenderjem (cisto zadnja verzija). Nalozil sem tudi F-secure, vendar se nisem popolnoma ugotovil, kako deluje (ali je samo konzola, ali ima kaksen GUI, kako updejtat).

Prosim za mnenja in pomoc, hvala!
SaXsIm

imagodei ::

Inštaliraj si Malwarebytes Antimalware in Spybot S&D (verzijo 1.6). Slednji je malo okoren, ampak preizkušen, MBAM pa je trenutno med top preizkušenimi avtomatiziranimi odstranjevalci nesnage.

Kar se tiče live CD-jev, predlagam tudi Kaspersky antivirus boot rescue disk.

Če ti to ne bo pomagalo, je čas za bolj detajlne preglede in semi-avtomatska orodja.
- Hoc est qui sumus -

negot ::

http://www.freedrweb.com/cureit/?lng=en, zelo dober program za take primere, zelo priporočam, lp:)

A. Smith ::

Za bolj zoprne viruse obstajajo navadno namenski programi (yyyy removal tool), ki jih odstranijo (googlaš npr blaster removal tool, kjer je 'blaster' primer virusa). Ta orodja so navadno brezplačno na voljo na spletnih straneh proizvajalcev protivirusne opreme, npr. na srani Kaspersky-ja.

Za uporabo namenskega orodja rabiš kot prvo ugotoviti, s čim imaš opravka. Za ugotovitev tega predlagam uporaba programa HijackThis. To je program, namenjen izključno diagnostiki ini vse, kar naredi je, da izpiše temeljit seznam vseh procesov ki tečejo na tvojem PCju. Ta log nato shraniš v .txt obliki in ga objaviš v analizo. Načeloma obstajaj online analize procesov, in sicer prilepiš cel log na vmesnik na teh dveh naslovih:
http://www.hijackthis.de/
http://www.computerhope.com/cgi-bin/pro...

Lahko pa vsebino loga prilepiš tudi na ta forum in bo folk pogledal, za katero golazen gre.

Ko je nasprotnik enkrat identificiran, pa se poišče namensko orodje za odstranitev in se izvede. Prvi korak pa je, kot sem že napisal, spoznavanje sovražnika.
"Be professional, be polite,
but have a plan to kill everyone you meet".
- General James Mattis

SaXsIm ::

Takole, tole je dal ven Clam. http://pastebin.com/ZwZ8jjTK
Po komentarjih na spletu sodec, so PUA zadeve skoraj zagotovo false pozitivi, vendar je vmes nekaj zadev, ki so sistemske datoteke. Ce ima kdo cas, bi prosil za komentar.
Drugace trenutno poganjam se F-secure, kasneje pa bo najverjetneje pognan se Bitdefender.
SaXsIm

imagodei ::

Ne rečem, da HTJ ni uporaben, ga pa že lep čas ne razvijajo več, tako da na Win7 ni več najbolj natančen.

Namesto tega orodja "community" priporoča npr. DDS

negot je izjavil:

http://www.freedrweb.com/cureit/?lng=en, zelo dober program za take primere, zelo priporočam, lp:)


Mnja, jaz sem po defaultu zadržan do takšnih Dr Mr cleanup toolov.
- Hoc est qui sumus -

Zgodovina sprememb…

  • spremenil: imagodei ()

draciel ::

mah.. jaz nikoli ne bi poskušal rešiti sistema če bi imel virus. ( zato ker nikoli ne veš , ali je še kakšen ostal )

Jaz vedno formatiram, in je mir. Tako sem najbolj siguren.

imagodei ::

draciel je izjavil:

mah.. jaz nikoli ne bi poskušal rešiti sistema če bi imel virus. ( zato ker nikoli ne veš , ali je še kakšen ostal )

Jaz vedno formatiram, in je mir. Tako sem najbolj siguren.

V domačem okolju je to sound rešitev, čeprav je dolgočasna kot satan. V poslovnem okolju bi te bili pa zaposleni ful veseli, ko bi zaradi ene okužbe z malware in relativno legit spletne strani šel formatirat računalnik in človeka poslal domov. :)

Pa še ne naučiš se ničesar novega. ;)
- Hoc est qui sumus -

fosil ::

Naredi sistem restore na čas pred virusom.
Tako je!

A. Smith ::

Ne rečem, da HTJ ni uporaben, ga pa že lep čas ne razvijajo več, tako da na Win7 ni več najbolj natančen.

Namesto tega orodja "community" priporoča npr. DDS
Aha, hvala za update. No, še zmeraj zagovarjam, da je fora v identifikaciji golazni. Potem pa sledi namensko orodje...
"Be professional, be polite,
but have a plan to kill everyone you meet".
- General James Mattis

Halfdead987 ::

V folder options naštimaj Show hidden files (pokaži skrite datoteke).
Zaženi v safe mode.
Nato zbriši vse v %temp%. Poglej še v %appdata% če je kaj sumljivega.
Nato v msconfigu preglej če je kaj sumljivega pod startup. Če je virus,poglej kje se nahaja.
Nato poglej še v taskmanager. View->Select columns->Show PID
Nato v CMD napiši netstat -ano
V CMDju ti bo napisalo PID in ''State''. Nič ne bi smelo biti ESTABLISHED. Če je,probaj najti njegovo lokacijo.
Preostane ti še,da malo pobrskaš po regeditu če je kaj sumljivega.
Virusi imajo ponavadi tudi podobno ime kot win service-i v task managerju npr. svchost,explorer itd.

Looooooka ::

Se en glas za Malwarebytes Antimalware in Spybot S&D.
Ko pobrisejo pa se en sfc /scannow zalaufas.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

avg pomoč

Oddelek: Pomoč in nasveti
7456 (331) ToniT
»

Dostop do NTFS diska

Oddelek: Pomoč in nasveti
191124 (847) solatko
»

Brisanje programov in ikon iz računalnika

Oddelek: Pomoč in nasveti
6578 (466) opeter
»

write protected

Oddelek: Pomoč in nasveti
12886 (761) jan01
»

Virus na usb kluču

Oddelek: Pomoč in nasveti
7917 (847) Blinder

Več podobnih tem