Dzejms - Wto 18 Mar, 2008 00:14 Temat postu: Pokonałem Rootkita !!! Jak w temacie. W firmie na jednym z kompów trafiłem wirusa Bagle w wersji z komponentem rootkit. Od razu mówię, że darmowy Avast został usunięty przez niego - TAK! - to rootkit zablokował Avasta. Generalnie komp nadawał się do słynnego format C, gdyż w dziwny sposób znikały uruchamiane programy. Prawdopodobnie był włam do kompa - patrz rootkit . I teraz meritum całej akcji. Podłączyłem nieszczęsnego firmowego hdd do swojego kompa domowego, aby odzyskać pokasowane dane (do odzysku polecam Easy Recovery Pro). Najważniejsze odzyskałem. Hdd odłączyłem i na drugi dzień zaczęły się schody na domowym kompie. Podczas uruchamiania zwiesił mi się NOD32 (wersja 3 - najnowsza). Ponowna instalacja - niemożliwa - wywala błędy. Pierwsze co robię to odpalam menedżera zadań i widzę jakiś "12347.exe" na liście. To już wiedziałem, że coś mi wlazło. Skaner online Symantec wykrył jeden plik "mdelk.exe" zarażony "W32.bagle.GM". Próba usunięcia - fiasko - blokada! Odpalam tryb awaryjny - nic - nie działa.  Jako, że trochę czytałem o rootkitach zacząłem szukać programów do sprawdzania: Gmer- nie odpala, RootkitRevealer - nie odpala, F-Secure BlackLight - JEST DZIAŁA. Skanuje i szok - 140 ukrytych procesów - niewidzianych ani w menedżerze zadań ani w Proces Explorerze. Również katalogi z których odpalały się te procesy nigdzie nie były widoczne a tylko w tym programie. Pytam Googla OCB - odp. - rootkit opanował jądro systemu i zablokował programy antywirusowe oraz uszkodził tryb awaryjny !  Czyżby format C. Nie! Nie tak łatwo!
A tak to się odbyło: 1. Odpalamy F-Secure BlackLight (uruchamia się bez instalacji). 2. Uruchamiamy SCAN i jeśli po nim pojawią się nam jakieś "Hidden files and folders" tzn, że mamy rootkita. 3. W kroku 2 (Step 2) - jeśli coś znajdzie w Step 1 - po kliknięciu na ukryty proces (program) pojawi się katalog, w którym może się on znajdować a ten katalog nigdzie nie będzie widoczny ani w eksploratorze windows ani w innych podobnych typu Total Commander. 4. Po znalezieniu podejrzanych plików BlackLight proponuje użytkownikowi usunięcie lub zmianę nazwy w celu dezaktywacji przy kolejnym uruchomieniu systemu. Program sugeruje wykonać restart zaraz po zakończeniu skanowania. Dzięki temu system powinien wystartować bez ukrywających się "dodatków", w związku z czym skanowanie antywirusem powinno zlokalizować źródło infekcji. Co u mnie nie zadziałało, gdyż wirus "odradzał się" ponownie. 5. Należy wtedy spisać pliki jakie są na tej liście i uruchomić system np z Ultimate Boot CD lub Bart PE (gotowe są na p2p) i usunąć ręcznie te pliki. I tak do skutku aż będziemy mogli zainstalować dobrego antywira i przeskanować natychmiast dokładnie system. U mnie NOD32 znalazł jeszcze 15 zarażonych plików m.in. pliki jpg ! 6. Pozostało jeszcze naprawienie uszkodzonego Trybu awaryjnego tym programem i dzisiaj mogłem już spokojnie pokarać Was na bydzi 
Proponuję przeskanujcie swoje kompy tym programikiem. Jeśli wynik skanowania będzie: "No hidden items found" to możecie spać spokojnie, ale tak prawie bo "wróg" czuwa i może Was zaatakować niepostrzeżenie 
Wiem. Wiem. Jestem THE Best 
P.S. Jak coś to pytajcie... v1ncent - Wto 18 Mar, 2008 00:56 Nie zazdroszczę bo pewnie spokojnej nocki nie miałeś. gratki. adaxdk - Wto 18 Mar, 2008 01:24 No.. przyda się na przyszłośc ![:]](images/mordki/icon_krzywy.gif ":]"){kind=icon}
1-0 dla Ciebie GJ
Puma - Wto 18 Mar, 2008 08:59 Ja to znajac mnie bym odrazu robila format ^^ WEGier - Wto 18 Mar, 2008 09:01 wiedziałem że ci się uda  i przede wszystkim dzięki za info!!! właśnie zaczynam skanować kompy <modli sie>
edit ufffff w robocie czysto - jeszcze zobacze na moim Sinecod - Wto 18 Mar, 2008 09:17 ciekaw jestem czy kaspersky dalby rade ... ma niby chronic przed rootkitami ...szkodaze nie masz kasperskegy (norton i szmelc symanteca blleeeee) ale n1 dzejms ! lnk - Wto 18 Mar, 2008 09:22 ha , z ciekawosci przeskanowalem i nic nie wykrylo: DDD x0x - Wto 18 Mar, 2008 10:09 u mnie czysto 
-I.G.L.A.X.- - Wto 18 Mar, 2008 14:50 u mnie tez
A uchronic sie przed "czyms" takim nie jest latwo , przewaznie antyviry nie wystarczaja
qBert - Wto 18 Mar, 2008 15:01 Mój blaszak i tak idzie do formatowania ale w sumie nie chce się tak załatwić jak ty, przy zrzucaniu danych. Powiem Ci że super to się przyda. Jak już się wygadamy, wyofftopujemy, to pousuwam te banialuki i przykleję.
|
||||||
