[Dzejms]

Jak w temacie. W firmie na jednym z kompów trafiłem wirusa Bagle w wersji z komponentem rootkit. Od razu mówię, że darmowy Avast został usunięty przez niego - TAK! - to rootkit zablokował Avasta. Generalnie komp nadawał się do słynnego format C, gdyż w dziwny sposób znikały uruchamiane programy. Prawdopodobnie był włam do kompa - patrz rootkit .
I teraz meritum całej akcji. Podłączyłem nieszczęsnego firmowego hdd do swojego kompa domowego, aby odzyskać pokasowane dane (do odzysku polecam Easy Recovery Pro). Najważniejsze odzyskałem. Hdd odłączyłem i na drugi dzień zaczęły się schody na domowym kompie. Podczas uruchamiania zwiesił mi się NOD32 (wersja 3 - najnowsza). Ponowna instalacja - niemożliwa - wywala błędy. Pierwsze co robię to odpalam menedżera zadań i widzę jakiś "12347.exe" na liście. To już wiedziałem, że coś mi wlazło. Skaner online Symantec wykrył jeden plik "mdelk.exe" zarażony "W32.bagle.GM". Próba usunięcia - fiasko - blokada! Odpalam tryb awaryjny - nic - nie działa. Jako, że trochę czytałem o rootkitach zacząłem szukać programów do sprawdzania: Gmer- nie odpala, RootkitRevealer - nie odpala, F-Secure BlackLight - JEST DZIAŁA. Skanuje i szok - 140 ukrytych procesów - niewidzianych ani w menedżerze zadań ani w Proces Explorerze. Również katalogi z których odpalały się te procesy nigdzie nie były widoczne a tylko w tym programie. Pytam Googla OCB - odp. - rootkit opanował jądro systemu i zablokował programy antywirusowe oraz uszkodził tryb awaryjny ! Czyżby format C. Nie! Nie tak łatwo!

A tak to się odbyło:
1. Odpalamy F-Secure BlackLight (uruchamia się bez instalacji).
2. Uruchamiamy SCAN i jeśli po nim pojawią się nam jakieś "Hidden files and folders" tzn, że mamy rootkita.
3. W kroku 2 (Step 2) - jeśli coś znajdzie w Step 1 - po kliknięciu na ukryty proces (program) pojawi się katalog, w którym może się on znajdować a ten katalog nigdzie nie będzie widoczny ani w eksploratorze windows ani w innych podobnych typu Total Commander.
4. Po znalezieniu podejrzanych plików BlackLight proponuje użytkownikowi usunięcie lub zmianę nazwy w celu dezaktywacji przy kolejnym uruchomieniu systemu. Program sugeruje wykonać restart zaraz po zakończeniu skanowania. Dzięki temu system powinien wystartować bez ukrywających się "dodatków", w związku z czym skanowanie antywirusem powinno zlokalizować źródło infekcji. Co u mnie nie zadziałało, gdyż wirus "odradzał się" ponownie.
5. Należy wtedy spisać pliki jakie są na tej liście i uruchomić system np z Ultimate Boot CD lub Bart PE (gotowe są na p2p) i usunąć ręcznie te pliki. I tak do skutku aż będziemy mogli zainstalować dobrego antywira i przeskanować natychmiast dokładnie system. U mnie NOD32 znalazł jeszcze 15 zarażonych plików m.in. pliki jpg !
6. Pozostało jeszcze naprawienie uszkodzonego Trybu awaryjnego tym programem i dzisiaj mogłem już spokojnie pokarać Was na bydzi
Proponuję przeskanujcie swoje kompy tym programikiem. Jeśli wynik skanowania będzie: "No hidden items found" to możecie spać spokojnie, ale tak prawie bo "wróg" czuwa i może Was zaatakować niepostrzeżenie


Wiem. Wiem. Jestem THE Best

P.S.
Jak coś to pytajcie...

[v1ncent]

Nie zazdroszczę bo pewnie spokojnej nocki nie miałeś.
gratki.

[adaxdk]

No.. przyda się na przyszłośc

1-0 dla Ciebie GJ

[Puma]

Ja to znajac mnie bym odrazu robila format ^^

[WEGier]

wiedziałem że ci się uda i przede wszystkim dzięki za info!!! właśnie zaczynam skanować kompy <modli sie>



edit
ufffff w robocie czysto - jeszcze zobacze na moim

[Sinecod]

ciekaw jestem czy kaspersky dalby rade ... ma niby chronic przed rootkitami ...szkodaze nie masz kasperskegy (norton i szmelc symanteca blleeeee)

ale n1 dzejms !

[lnk]

ha , z ciekawosci przeskanowalem i nic nie wykrylo: DDD

[x0x]

u mnie czysto

[-I.G.L.A.X.-]

u mnie tez

A uchronic sie przed "czyms" takim nie jest latwo , przewaznie antyviry nie wystarczaja

[qBert]

Mój blaszak i tak idzie do formatowania ale w sumie nie chce się tak załatwić jak ty, przy zrzucaniu danych. Powiem Ci że super to się przyda. Jak już się wygadamy, wyofftopujemy, to pousuwam te banialuki i przykleję.