rootkit

[biały 18]

\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ Vax347s\Config\jdgg40
witam ta sciezka czy jak to sie tam zwie to wpis rejestru przeskanowany przez sophos antirootkit i wykryty jako rootkit sam program nie posiada funkcji kasowania ale czy jak wejderecznie i go skasuje to nie bedzie to mialo zadnych skutkow ubocznych typu zachwiania stabilnosci systemu

[QuatPro]

Nie powinien. Jeśli Sophos się nie myli, to wpis ten jest wykorzystywany tylko przez tego rootkit'a. Jednak przed usunięciem klucza możesz go sobie z'backup'ować eksportując do pliku.

[ElfOnCd]

\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ Vax347s\Config\jdgg40
witam ta sciezka czy jak to sie tam zwie to wpis rejestru przeskanowany przez sophos antirootkit i wykryty jako rootkit sam program nie posiada funkcji kasowania ale czy jak wejderecznie i go skasuje to nie bedzie to mialo zadnych skutkow ubocznych typu zachwiania stabilnosci systemu

Uruchom GMERa i zapodaj wynik z zakładki rootkit.
Używaj GOOGLA - nie jesteś pierwszy, który z tym walczy.
W niektórych przypadkach będziesz musiał korzystać z trybu awaryjnego gdyż tylko w tym trybie masz możliwość bezpiecznego ubijania niektórych ważniejszych procesów systemowych.
Rootkity często działają w parach. Obydwie części się nawzajem monitorują.

[Filon by A-men]

Dokładnie tak.
Jeśli potrzebujesz softu do usuwania syfu to zajrzyj tutaj.

[biały 18]

dzieki pozniej mi powidzcieco mam dokladnie pokolei zrobic bo az tak to nie ogarniam

[biały 18]

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-09 16:28:36
Windows 5.1.2600 Dodatek Service Pack 2


---- System - GMER 1.0.14 ----

SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xF843D4FE]
SSDT Vax347b.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xF8448D50]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 825D11E8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs AntiBotFilter.sys (NAB Application Activity Monitor Filter Driver./Symantec Corporation. )
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.14 ----

[Filon by A-men]

Z tego co widzę to sam sobie szkodzisz używając Avasta i Symanteca równocześnie.

[biały 18]

no symantec to antybot a avasta mam na 14 msc wiec nie znam innego darmowego wyrombanego antyvira jak jakies sugestie jak skombinowac kasperskiego albo nod32 na dluzej niz msc albo dwa poza kupnom to plis piszcie

Nie wolno pisać takich sugestii

[biały 18]

sorki nie wiedzialem a co mam zrobic usunacn ten wpis czy nie

[QuatPro]

Oka.

... Jednak przed usunięciem klucza możesz go sobie z'backup'ować eksportując do pliku.

Możesz przetestować, co się będzie działo, po usunięciu klucza.

[Filon by A-men]

no symantec to antybot a avasta mam na 14 msc wiec nie znam innego darmowego wyrombanego antyvira jak jakies sugestie jak skombinowac kasperskiego albo nod32 na dluzej niz msc albo dwa poza kupnom to plis piszcie

Nie wolno pisać takich sugestii

Z darmowych antywirusów godne uwagi to Hakerzy.NET Antywirus i ClamWin.

[biały 18]

aaa dzieki

[warrior]

Może trochę odbiegnę od tematu - ale chciałem zapytać - ponieważ widzę Filon by A-men, że polecasz Hakerzy.NET Antywirus i ClamWin, a możesz bliżej podać, funkcjonalność chociażby jednego z tych programów, tzn. między innymi w czym są lepsze ?

[Filon by A-men]

Nie napisałem, że są lepsze tylko godne uwagi. ClamWin jest darmowy i wielokrotnie nagradzany za skuteczność, Hakerzy natomiast to produkt w miarę "świeży" ale na dziś rozpoznaje i usuwa/naprawia skutki działania 65310 wirusów - program jest w wersji 0.6 i oczywiście darmo.

Obydwa wymienione zajmują bardzo mało zasobów np. Hakerzy niecałe 7MB ramu.
Obydwa również mogą pracować w wersji portable nie wymagającej instalacji.

Co do Avasta to powiem tyle mają bardzo dobrych speców od reklamy

[QuatPro]

Co do tej wersji "portable" (hakerzy.net) to to jest to samo co wersja konsolowa? Jak nie, to muszę mocniej poszukać - nie potrafiłem znaleźć. No i bazy danych też nie ma osobno, mam w takim razie nadzieję, ze cały pakiecik jest uaktualniany o bieżącą bazę.

edit:
Uruchomiłem tą wersję konsolową, baza posiada tylko 40519 identyfikowanych obiektów. Spróbuję się połączyć z ftp.hakerzy.net, może się uda i coś tam znajdę.

edit:
Jest ftp. Jaki jest standardowy login i hasło do publicznego ftp? Pamiętam, że powinno działać coś w stylu anonym, anonymous. Ale w tym wypadku nie działa.

edit:
http://www.google.pl/search?hl=pl&q=...j+w+Google&lr=
> http://www.staff.amu.edu.pl/~ttomek/...iczenia14.html
> Brak publicznego dostępu.

[Filon by A-men]

Podaj maila na priva to podeślę wersję portable.

[Espionage]

Mam prośbę o pomoc. Avast wykrył mi rootkita w pliku C:\WINDOWS\system32\drivers\glaide32.sys. Jak mogę go usunąć? Jestem całkowitym laikiem, jeśli chodzi o wirusy, programy antywirysowe i nie mam zielonego pojęcia, jak się pozbyć natręta. Proszę, pomóżcie!

[Filon by A-men]

Poszukaj Avira CD Rescue, pobierz, wypal na CD, opdal kompa z tego CD i przeskanuj cały system.
Avira bardzo dobrze wykrywa i usuwa rootkity.

Najnowsza wersja jest tutaj.

[madziki]

możesz to opisać trochę jaśniej, plik jest z rozszeżeniem exe więc jak mam go wypalić na płycie

[Filon by A-men]

Plik jest samorozpakowującym się ISO ze zintegrowanym silnikiem nagrywającym.
Uruchom go i poprowadzi Cię za "rączkę".