trojan odstraneny, ako opravit problem, ktory nechal?

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
Používateľov profilový obrázok
jtbs
Používateľ
Používateľ
Príspevky: 792
Dátum registrácie: Pi 23. Okt, 2009, 19:25
Bydlisko: Žilina

trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa jtbs »

citujem kamarata:
ked kliknem na -Tento pocitac- a spravim dvojklik na niektoru jednotku(C alebo D), tak mi vyhodi tabulku aby som si vybral program v ktorom to chcem otvorit...ked aj v c:windows vyberiem explorer.exe tak sa mi neda zaskrtnut aby ho vzdy pouzilo pri otvarani disku...

bol to trojsky kon a nazov mal tusim c1.exe
// vyete mi poradit ako to opravit?
A zabudol som napisat, ze sa jedna o win XP
We salute the rank, not the man!
Používateľov profilový obrázok
mi*so
Používateľ
Používateľ
Príspevky: 403
Dátum registrácie: St 13. Jan, 2010, 17:54

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa mi*so »

Je ten vírus kompletne odstránení a aj z registrov?
Používateľov profilový obrázok
jtbs
Používateľ
Používateľ
Príspevky: 792
Dátum registrácie: Pi 23. Okt, 2009, 19:25
Bydlisko: Žilina

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa jtbs »

vyhodilo mu tabulku, ze ho ESET nasiel a vymazal...cize predpokladam ze to vymazalo exe subor a neviem ci sa eset dostane do registrov. Tam sa predsa virus nenachadza, len ten virus nieco v tych registroch zmenil (moj nazor).
We salute the rank, not the man!
Používateľov profilový obrázok
mi*so
Používateľ
Používateľ
Príspevky: 403
Dátum registrácie: St 13. Jan, 2010, 17:54

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa mi*so »

Tak sa pozrieme do registrov. :)
Stiahni tento program: http://download.cnet.com/Malwarebytes-A ... tag=button
Nainštaluj. Otvor program. Sprav aktualizáciu programu! Sprav úplný scan . Scan trvá cca. 1 hodinu.
Log ktorý vyskočí vlož sem a všetko čo nájde zmaž.

Tento program prehľadá registre a súbory od vírusov.
Používateľov profilový obrázok
jtbs
Používateľ
Používateľ
Príspevky: 792
Dátum registrácie: Pi 23. Okt, 2009, 19:25
Bydlisko: Žilina

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa jtbs »

Takyto sposob by som chcel zobrat az ako poslednu moznost. Skor ma zaujima kde v registroch prepisat napadnuty prikaz a cim ho nahradit. Ako som uz spomenul, nie je to na mojom pc, cize by som bral radsej takuto cestu.
We salute the rank, not the man!
Používateľov profilový obrázok
mi*so
Používateľ
Používateľ
Príspevky: 403
Dátum registrácie: St 13. Jan, 2010, 17:54

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa mi*so »

No to sa prakticky nedá. Nemôžeš zisťiť ktorý kľúč registru je infikovaný. ;)
Používateľov profilový obrázok
jtbs
Používateľ
Používateľ
Príspevky: 792
Dátum registrácie: Pi 23. Okt, 2009, 19:25
Bydlisko: Žilina

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa jtbs »

no uvidim..aj tak nema co pokazit, kedze ak nenajdem riesenie, tak preinstaluje windows...dam mu vyskusat malwarebytes
We salute the rank, not the man!
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2318
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa zoom »

Pokial chces skusit jednoduche riesenie, mozes mu nechat spustit ComboFix [link]. Pokial by si chcel dolozit nejake logy, aby sa na ne ludia pozreli, tak SysInspector, Autoruns a este nechat prejst pocitac GMERom a tiez ulozit log.

Inak len hladat na Googli, ako ludia vyriesili rovnake ci podobne chovanie.
Používateľov profilový obrázok
jtbs
Používateľ
Používateľ
Príspevky: 792
Dátum registrácie: Pi 23. Okt, 2009, 19:25
Bydlisko: Žilina

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa jtbs »

ten ComboFix ked najde, tak aj infikovany subor opravi/vymaze? Taketo riesenie by mi totiz vyhovovalo viac ako nejake upinanie logov na forum, to az ako poslednu moznost.
We salute the rank, not the man!
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2318
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa zoom »

Ano, dokaze aj zmazat (a urobi zalohu do C:\Qoobox). Je to vsak pomerne silny nastroj a hlavne automatizovany, moze sa stat, ze uz nenabootujes, aj ked som sa s takou situaciou este nestretol. Navyse, pokial mas infikovane systemove subory, ktore jednoducho nemozes vymazat, dokaze ich aj nahradit cistymi verziami, ktore vytiahne z drivers.cab, ktory je ulozeny na disku (napr. pri popularnych infiltraciach napadajucich atapi.sys a podobne).
Používateľov profilový obrázok
jtbs
Používateľ
Používateľ
Príspevky: 792
Dátum registrácie: Pi 23. Okt, 2009, 19:25
Bydlisko: Žilina

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa jtbs »

ok odovzdam to kamosovi. Uvazuje, ze koli tomu preinstaluje win, takze ak by sa nahodou nieco posr, tak bude mat uvazovanie vyriesene.

PS: tak ma napadlo, ze prosta obnova systemu z CD, v pripade nenabootovania, by mala plne stacit aby sa zas dostal do systemu? Cize obnovuje "obnova systemu" aj registre?
We salute the rank, not the man!
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2318
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa zoom »

To neviem, ale pri obnove systemu ti podla popisu instalatora ostanu zachovane vsetky nainstalovane programy. Kedze tieto programy vyzaduju zapisy v registroch, predpokladam, ze tie ostanu v poriadku. Mozno by sa odznovu vytvorili uplne ciste, keby si vymazal rucne tie najdolezitejsie subory registra (pri XP vo WINDOWS\system32\config, zvysok tusim subor ntuser.dat niekde, ktory ma na starosti HKCU vetvu). Ale do toho by som sa nepustal. Normalne nech prejde komp ComboFixom a pozrie sa do vysledkov. Nasledne GMER, nech skontroluje rootkity, a potom si moze v Nudzovom rezime s podporou siete oscanovat pocitac kopec online antivirusmi.
Používateľov profilový obrázok
jtbs
Používateľ
Používateľ
Príspevky: 792
Dátum registrácie: Pi 23. Okt, 2009, 19:25
Bydlisko: Žilina

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa jtbs »

ok dam mu odkaz na tuto temu a nech sa sam rozhodne. Zatial dik.
We salute the rank, not the man!
Používateľov profilový obrázok
mi*so
Používateľ
Používateľ
Príspevky: 403
Dátum registrácie: St 13. Jan, 2010, 17:54

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa mi*so »

Do frasa zoom. Ak spadne windows je o tvoja vina!
Pri combofixe musíš:
Mať na ploche
Byť prihlásený ako administrátor
Neklikať do okna
Povoliť inštaláciu konzoly pre zotavenie
Povoliť aktualizáciu
Ak nanabehne windows pri spúštaní počítača stláčaj F8 a daj posledná známa konfigurácia.
----------------------------------------------------
A ak tam ešte niečo má combofix to neodstráni. Po conbofixe je treba ešte spraviť dočistenie v podobe skriptu.
Combofix skoro nikdy nevymaže všetko. A log sem musíš dať stejne. Z combofixu.
Používateľov profilový obrázok
zoom
Používateľ
Používateľ
Príspevky: 2318
Dátum registrácie: Št 16. Jún, 2005, 20:00
Bydlisko: Bratislava (40)

Re: trojan odstraneny, ako opravit problem, ktory nechal?

Príspevok od používateľa zoom »

No ty si mi teda odbornik. Ak padne Windows, je to moja vina... To, ze ComboFix prescanuje pocitac a nasledne vymaze subory, ktore poklada za skodlive, tak to je moja vina. Mi to proste pride, ako keby si tomu vobec nerozumel a len tam spisal nejake somariny. Co je to, prosim ta, ze ho musis mat na Ploche? Co sa stane, ked ho nakopirujem do D:\ a spustim odtial? Vybuchne monitor? Preco by si nemal klikat do okna ComboFixu? Je to obycajne konzolove okno (nepocitam, ze budes klikat na krizik na zavretie, co aj tak nepojde).

Ked nedobre odstranis rootkit, ktory si svoje posobenie strazi, nepomoze ti ani Safe Mode, jednoducho preto, lebo sa do Safe Modu ani nedostanes. Posledna znama konfiguracia je viacmenej vtip, nakolko by si musel rucne z tych adresarov na disku vymazat skodlive subory a este upravit v registri vetvy ControlSet00X\Services a podobne. To ze si ju ComboFix vytvori, nezarucuje, ze bude aj pouzitelna, ked sa nieco pokazi.

Tiez nechapem, preco by po ComboFixe BOLO TREBA docistenie pomocou scriptu. Mozes oscanovat pocitac a pouzit od zaciatku script, ci uz pre ComboFix alebo napr. pre Avengera, alebo nechas ComboFix spravit celu pracu (ak to dokaze). Castokrat obnovi rozne veci, s ktorymi sa potom nemusis zabavat (zmenene DNS servery, nastavenia prehliadaca, ale zas nedokaze spravne napravit upravene persistent routes vo Windowse - mozes sa vsak o tej zmene docitat v Tcpip.reg, ktory vytvori).

Mam tu pokusne rozbehany jeden pekny rootkit. Gmer ho najde a Avengerom ho mozes roznymi sposobmi skusit odstranit. Vyskusal som tri rozne sposoby v scripte a jeden z tych troch sposobov viedol k tomu, ze sa uz Windows nenabootoval (ani Safe Mode), dalsi zase k tomu, ze po boote do Windowsu zamrzol pocitac. Nechapem, ako chces ovplyvnit , ked ti ComboFix nieco napoly zmaze pri normalnom spusteni. Vyzera to hrozostrasne, ale inak je CF v 95% beznych pripadov bez problemov pouzitelny a funkcny.

Návrat na "Bezpečnost a zabezpečenie PC"