Walka z wirusami

[lukas108 18]

Witam.

Ostatnio po póltorej roku uzytkowania jednej instalacji WinXP przyszedł do mnie meil ze spamem adresowany z mojej skrzynki e-mail. Pomyslalem ze to pewnie jakis paskudny robal.

 

Postabnowilm powalczyć. Uruchomilem podstawowe narzedzia jakich uzywam. Avira Antivir w samym systemie nie wykazał wirusów, Ad-Aware i SpyBot znalazło kilka ciasteczek i innych smieci - jak zawsze.

 

Mysle, ze cos tu musi jednak siedzieć. Moze Rootkit?

Zaistalowalem UnHackMe, oraz kilka innych antyrootkitów, skanerów antywirusowych. Jak wiadomo cięzko ocenic jakie pliki są chronine przez rootkity. Unhackme wskazał kilk apodejrzanych plików uznając je za niebezpiecze! Co ciekawe nawet CesarFTP i jego proces server.exe został wskazany jako zagrozenie? Jak mam sie do tego ustsunkowac?

 

Zainstalowalem osobny system na innej partycji. Zaistalowalem caly pakiet skanerów i narzędzi. Moze co prawda skanowac moją "podejrzaną" partycje C:/ ale wiadomo ze tylko z poziomu plików.

 

Pytanie brzmi:

- Czy pliki rootkitów czy trojanów zostaną z poziomu systemu niezależnego odktyte i usunięte orzez skanery z poziomu ystemu niezależnego?

- Co mam zrobić z rejetsrem systemu na C:/ ? Jak moge go przeskanowac z poziomu innego systemu. Caly czas chodzi mi o to zeby zaden wirus ktory sie ukrywa na C nie mógl chronic zadnych swoich wpisów i plików.

- Czy samo usunięcie plików wirusów da efekt przeczyszczenia i bede mogł wtedy usuwać po nich ślady (np. wpisy w rejestrze).

 

Czekam na wskazówki i porady.

Wielkie dzięki.

[mieszek 0]

Przeskanuj mks-virem online. Jak nic nie wykryje prześlij im z zapytaniem, co to jest.

[lukas108 18]

Zależy mi jednak o infrmacji, czy jest wogole jakaś szansa na to że program ktróry skanuje zawartosc dysku w poszukiwaniu rootkitów odnajdzie wirusa z poziomu systemu niezależnego - na partycji innego systemu.

Ja to rozumiem tak że z poziomu systemu niezależnego widocznosc wszytkich wczesniej ukrywanych obiektów jest nieaktywna. Ale czy to wlasnie uniemożliwia systemowi rozpoznanie takich plików? Czy programy (np. moduł rootkitowy w Avira Antivir) działa na zasadzie sygnatur czy tylko ocenia ukrywanie obiektów przez system?

[mieszek 0]

Jeżeli ten "model" szkodnika nie trafił wcześniej do jakiejś firmy antywirusowej to jak mają go wykryć?

Jeżeli nie wykrywają to nie mają go w bazach.

Wejdź na stronę MKS. Jest tam link nazwany "Przyślij wirusa"

[januzi 24]

hmmm ... przyszedl do Ciebie email z wpisanym Twoim adresem nadawczym ? a sprawdziles w naglowkach, czy ip nadawcy to Twoje ip ?

[lukas108 18]

Jeżeli ten "model" szkodnika nie trafił wcześniej do jakiejś firmy antywirusowej to jak mają go wykryć?

Jeżeli nie wykrywają to nie mają go w bazach.

Wejdź na stronę MKS. Jest tam link nazwany "Przyślij wirusa"

 

Ja rozumiem co piszesz. Ale wirusy typu Rootkit wykrywane ( ztego co na razie wiem) inaczej. Raczej trudno tu mowic o wykrywaniu. I polega to na testowaniu statusu plików i to czy są przez system ukrywane czy nie. Ale zaden skaner rootkitowy nie podaje kokretnego modelu rootkita tylko wyswietla ktore pliki lub wpisy są przez system ukrywane. Stad też moje zapytanie, czy jaki kolwiek skaner antyrootkitowy dziala równiez na podstawie gotowych sygnatur?

[DhanOS 65]

Drugi system ma dostęp do plików ale może nie mieć uprawnień do niektórych plików i folderów - wtedy trzeba je sobie nadać.

 

 

Pozdrawiam.

[mieszek 0]

Rootkity są chyba wykrywane dlatego, że staraja się "ukryć" na działającym systemie. Więc "obcy" system raczej będzie miał kłopoty z ich wykryciem. Jedynie jakiś skaner antywirusowy jeżeli ma sygnaturkę.

 

Zrób obraz partycji sysyemowej, np http://mieszek.friko.pl/sysresccd

Potem możesz sobie na systemie eksperymentować do woli. Jak coś wysypiesz - odtwarzasz z obrazu i eksperymentujesz dalej. Aż do skutku