Автор Тема: Руткит и как с ним бороться (Прочитано 6361 раз)

shiningforce · « : 24 Июнь 2009, 00:13:48 »

У знакомого на компе появилась интересная зараза. Он приволок домой флешку, скинул с неё 3 фильма, после чего комп сказал, мол установлено новое оборудование и надо перезагрузиться для его нормальной работы. Он перезагрузился, после чего комп даёт поработать минут пять и снова всплывает такое окно. В нем написано "хотите перезагрузить комп сейчас": "да"\"нет". Само нажимается "да" после чего винда не грузится. Он уже трижды (один раз 22 и два 23 июня) переставлял винду и каждый раз такой результат. Я просматривал вчера его диски и реестр. хвостов от вирей на дисках не было (ни авторанов, ни каких либо подозрительных файлов, корзины удалялись без проблем), в реестре я нашёл записи, содержащие надписи "%rootkit%" и дальше в таком духе. Поискал указанные файлы в папках, где они должны были быть, но не нашёл (скрытые и системные файлы были видны), решил что всё в порядке и отправился домой. Однако сегодня история повторилась. Если это руткит, то как с ним бороться? Кто знает, подскажите плиз.

HardWareMan · « **Ответ #1 :** 24 Июнь 2009, 07:06:47 »

Касп имеет средство борьбы с руткитами. Но руткит никогда не обнаружить под зараженной системой без спецпрог. Только при загрузки другой чистой системы (например лайвЦД или там ЕРД) и оттуда шерстя винт.

shiningforce · « **Ответ #2 :** 24 Июнь 2009, 14:23:39 »

То есть мне надо поставить чистую систему- поставить каспер- провести полную проверку. Я правильно понял?

Vegas · « **Ответ #3 :** 24 Июнь 2009, 14:45:51 »

Ну, можешь вытащить хард и отнести к другу проверить на его компе

MetalliC · « **Ответ #4 :** 24 Июнь 2009, 14:51:43 »

именно так
и после установки системы софт/драйвера ставить только с CD-дисков или инета, вобщем ничего исполняемого с винчестера не запускать и не ставить.

также хорошо бы перед установкой системы загрузиться с CD в "консоль восстановления" и сделать комманды fixmbr и fixboot (на случай если оно в MBR или BOOT-секторе прописалось)
та и тот раздел на который будет ставиться система в процессе установки лучшеб отформатировать..

Киба · « **Ответ #5 :** 24 Июнь 2009, 14:55:41 »

shiningforce
Попробуйте AVZ
Встроенная система обнаружения Rootkit

Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1

.flint · « **Ответ #6 :** 24 Июнь 2009, 15:26:59 »

Если даже после переустановки операционки перманентно возникает такая проблема, то действительно первым делом нужно проверить загрузочные секторы. MetalliC описал, как.

shiningforce · « **Ответ #7 :** 24 Июнь 2009, 16:24:44 »

Так проблема то у знакомого. И большую часть проблемы я знаю только с его слов. Сегодня пойду разгребать его завалы.

Vegas · « **Ответ #8 :** 24 Июнь 2009, 16:25:24 »

Сделайте наоборот

shiningforce · « **Ответ #9 :** 24 Июнь 2009, 16:43:41 »

Я уже привык открывать флехи через безопасный режим и уже много раз убеждался, что лучше чуть больше действий сделать, чем потом комп лечить.
"безопасный режим" - через командную строку или "мой компьютер" и там в адресном поле: "Н:\"- Enter.
А большая часть, даже страдавших от вирей, юзеров до сих пор просто заходит сразу на флеху через автозапуск или ярлык. За что получает очередную дозу вирей и троянов $:-\$

.flint · « **Ответ #10 :** 24 Июнь 2009, 17:00:53 »

Это не безопасно. При инициализации устройства сейчас, если не отключать, все равно считывается autorun.inf и производятся действия. А так, можно и через контекстное меню открывать, тоже в обход авторана.

HardWareMan · « **Ответ #11 :** 24 Июнь 2009, 17:01:15 »

И это правильно! Самое православное открывание - как раз таки через букву диска в адресной строке. Ибо при наличии "корректного" авторана пункт "открыть2 можно убрать из контекстного меню, оставив нужный тебе "автозапуск" с тем же именем "открыть". Проверено.

Киба · « **Ответ #12 :** 24 Июнь 2009, 17:24:24 »

Цитата: HardWareMan от 24 Июнь 2009, 17:01:15

И это правильно! Самое православное открывание - как раз таки через букву диска в адресной строке. Ибо при наличии "корректного" авторана пункт "открыть2 можно убрать из контекстного меню, оставив нужный тебе "автозапуск" с тем же именем "открыть". Проверено.

Оппа, спасибо что просветил. Это многое мне объяснило

GManiac · « **Ответ #13 :** 24 Июнь 2009, 17:35:01 »

Зачем париться с "Проводником" и грёбаным контекстным меню, когда можно включить тотального командира и просто переключиться на флешку?

Киба · « **Ответ #14 :** 24 Июнь 2009, 17:43:00 »

GManiac,угу. Так я его(вирь) и убил.

GManiac · « **Ответ #15 :** 24 Июнь 2009, 17:46:42 »

Цитата: GManiac от 24 Июнь 2009, 17:35:01

включить тотального командира

Скачайте прямо сейчас "Систему тотального подчинения... ой, чего это я

shiningforce · « **Ответ #16 :** 24 Июнь 2009, 18:07:15 »

HardWareMan,
Подскажи пожалуйста строчку реестра, где можно править контекстное меню.

Йобан Матич · « **Ответ #17 :** 24 Июнь 2009, 19:43:23 »

Цитата: Vegas

Ну, можешь вытащить хард и отнести к другу проверить на его компе

На хардах тоже есть автозапуск

Можно попробовать LiveCD с "доктор web", но не уверен что он хорошо обнаружает руткиты.

TerraWarrior · « **Ответ #18 :** 25 Июнь 2009, 00:10:32 »

Авторан легко в реесте можно вырубить. В дополнение к отключению - тотал коммандер. Он не исполняет autorun.inf при переключении на соответствующее устройство.

HardWareMan · « **Ответ #19 :** 25 Июнь 2009, 07:45:22 »

Цитата: GManiac от 24 Июнь 2009, 17:35:01

Зачем париться с "Проводником" и грёбаным контекстным меню, когда можно включить тотального командира и просто переключиться на флешку?

Затем, что у меня нету Тотального Командира (SIC!), которого еще надо ставить. Я ездию на ФАРе.

А вот у пациента может не быть ни того, ни другого, а исправить надо сейчас. Так зачем изобретать велосипед?

Цитата: shiningforce от 24 Июнь 2009, 18:07:15

HardWareMan, Подскажи пожалуйста строчку реестра, где можно править контекстное меню.

А спросить в интернетах слабо? Так же есть куча утилит, которые сами создадут тебе авторан через удобный мастер.

shiningforce · « **Ответ #20 :** 25 Июнь 2009, 08:05:17 »

HardWareMan,
Меня заинтересовала именно возможность править контекстное меню, раз уж ты про неё сказал. Авторан тут не причём

HardWareMan · « **Ответ #21 :** 25 Июнь 2009, 08:08:31 »

Цитата: shiningforce от 25 Июнь 2009, 08:05:17

HardWareMan,
Меня заинтересовала именно возможность править контекстное меню, раз уж ты про неё сказал. Авторан тут не причём

Таки в нем и задается шелл-команда, которая это делает. Попозже покажу, сейчас некогда - работать надо.

УльтраБлокС · « **Ответ #22 :** 25 Июнь 2009, 08:32:52 »

Я даже на DelphiSources.ru видел исходник программы для защиты от AutoRun-вирусов.

Новости:

Автор Тема: Руткит и как с ним бороться (Прочитано 6361 раз)