| Другое > Hard'n'Soft |
| Руткит и как с ним бороться |
| (1/2) > >> |
| shiningforce:
У знакомого на компе появилась интересная зараза. Он приволок домой флешку, скинул с неё 3 фильма, после чего комп сказал, мол установлено новое оборудование и надо перезагрузиться для его нормальной работы. Он перезагрузился, после чего комп даёт поработать минут пять и снова всплывает такое окно. В нем написано "хотите перезагрузить комп сейчас": "да"\"нет". Само нажимается "да" после чего винда не грузится. Он уже трижды (один раз 22 и два 23 июня) переставлял винду и каждый раз такой результат. Я просматривал вчера его диски и реестр. хвостов от вирей на дисках не было (ни авторанов, ни каких либо подозрительных файлов, корзины удалялись без проблем), в реестре я нашёл записи, содержащие надписи "%rootkit%" и дальше в таком духе. Поискал указанные файлы в папках, где они должны были быть, но не нашёл (скрытые и системные файлы были видны), решил что всё в порядке и отправился домой. Однако сегодня история повторилась. Если это руткит, то как с ним бороться? Кто знает, подскажите плиз. |
| HardWareMan:
Касп имеет средство борьбы с руткитами. Но руткит никогда не обнаружить под зараженной системой без спецпрог. Только при загрузки другой чистой системы (например лайвЦД или там ЕРД) и оттуда шерстя винт. |
| shiningforce:
То есть мне надо поставить чистую систему- поставить каспер- провести полную проверку. Я правильно понял? |
| Vegas:
Ну, можешь вытащить хард и отнести к другу проверить на его компе :) |
| MetalliC:
именно так и после установки системы софт/драйвера ставить только с CD-дисков или инета, вобщем ничего исполняемого с винчестера не запускать и не ставить. также хорошо бы перед установкой системы загрузиться с CD в "консоль восстановления" и сделать комманды fixmbr и fixboot (на случай если оно в MBR или BOOT-секторе прописалось) та и тот раздел на который будет ставиться система в процессе установки лучшеб отформатировать.. |
| Киба:
shiningforce Попробуйте AVZ Встроенная система обнаружения Rootkit Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы UserMode RootKit для своего процесса и KernelMode RootKit на уровне системы. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). Другой особенностью является универсальная система обнаружения и блокирования KernelMode RootKit, работоспособная под Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1 |
| .flint:
Если даже после переустановки операционки перманентно возникает такая проблема, то действительно первым делом нужно проверить загрузочные секторы. MetalliC описал, как. |
| shiningforce:
Так проблема то у знакомого. И большую часть проблемы я знаю только с его слов. Сегодня пойду разгребать его завалы. |
| Vegas:
Сделайте наоборот :) |
| shiningforce:
Я уже привык открывать флехи через безопасный режим и уже много раз убеждался, что лучше чуть больше действий сделать, чем потом комп лечить. "безопасный режим" - через командную строку или "мой компьютер" и там в адресном поле: "Н:\"- Enter. А большая часть, даже страдавших от вирей, юзеров до сих пор просто заходит сразу на флеху через автозапуск или ярлык. За что получает очередную дозу вирей и троянов :-\ |
| .flint:
Это не безопасно. При инициализации устройства сейчас, если не отключать, все равно считывается autorun.inf и производятся действия. А так, можно и через контекстное меню открывать, тоже в обход авторана. |
| HardWareMan:
И это правильно! Самое православное открывание - как раз таки через букву диска в адресной строке. Ибо при наличии "корректного" авторана пункт "открыть2 можно убрать из контекстного меню, оставив нужный тебе "автозапуск" с тем же именем "открыть". Проверено. |
| Киба:
--- Цитата: HardWareMan от 24 Июнь 2009, 17:01:15 ---И это правильно! Самое православное открывание - как раз таки через букву диска в адресной строке. Ибо при наличии "корректного" авторана пункт "открыть2 можно убрать из контекстного меню, оставив нужный тебе "автозапуск" с тем же именем "открыть". Проверено. --- Конец цитаты --- Оппа, спасибо что просветил. Это многое мне объяснило :) |
| GManiac:
Зачем париться с "Проводником" и грёбаным контекстным меню, когда можно включить тотального командира и просто переключиться на флешку? :? |
| Киба:
GManiac,угу. Так я его(вирь) и убил. |
| GManiac:
--- Цитата: GManiac от 24 Июнь 2009, 17:35:01 ---включить тотального командира --- Конец цитаты --- Скачайте прямо сейчас "Систему тотального подчинения... ой, чего это я :D |
| shiningforce:
HardWareMan, Подскажи пожалуйста строчку реестра, где можно править контекстное меню. |
| Йобан Матич:
--- Цитата: Vegas ---Ну, можешь вытащить хард и отнести к другу проверить на его компе --- Конец цитаты --- На хардах тоже есть автозапуск ;) Можно попробовать LiveCD с "доктор web", но не уверен что он хорошо обнаружает руткиты. |
| TerraWarrior:
Авторан легко в реесте можно вырубить. В дополнение к отключению - тотал коммандер. Он не исполняет autorun.inf при переключении на соответствующее устройство. |
| HardWareMan:
--- Цитата: GManiac от 24 Июнь 2009, 17:35:01 ---Зачем париться с "Проводником" и грёбаным контекстным меню, когда можно включить тотального командира и просто переключиться на флешку? :? --- Конец цитаты --- Затем, что у меня нету Тотального Командира (SIC!), которого еще надо ставить. Я ездию на ФАРе. ;) А вот у пациента может не быть ни того, ни другого, а исправить надо сейчас. Так зачем изобретать велосипед? --- Цитата: shiningforce от 24 Июнь 2009, 18:07:15 ---HardWareMan, Подскажи пожалуйста строчку реестра, где можно править контекстное меню. --- Конец цитаты --- А спросить в интернетах слабо? Так же есть куча утилит, которые сами создадут тебе авторан через удобный мастер. |
| Навигация |
| Главная страница сообщений |
| Следующая страница |