Login
как удалить вирус RKIT/Agent.DQ.31.A?
NEW 26.08.07 16:09
Возможно я неправильно понял твою цитату,но складывается впечатление,что стоит включить опции "показывать системные файлы" и "показывать скрытые файлы"и ты "увидел" то есть смог удалить Rootkits
Но это не так.
Лень своими словами пересказывать
Стоит только почитать в Гогле какие механизмы и трюки они используют и становится ясно,что вс╦ не так просто.
Вот мне понравилось:
Rootkits stammen aus der UNIX-Welt. Es wurde versucht dem Systemadministrator, dessen Name auf UNIX-Systemen normalerweise 'root' lautet, Programmversionen von Systemprogrammen (z.B. ps, netstat, passwd etc.) unterzuschieben, die Systemaktivitäten eines Schädlings (oder Angreifers) nicht anzeigte. Nach und nach wurden nicht mehr nur einzelne Programme ausgetauscht. Die Rootkits versuchten in den Kernel zu gelangen, und von dort aus unbemerkt ihre Anwesenheit zu verschleiern. Dieses Prinzip wurde nun auch auf Windows-Rechner übertragen. Neuere Rootkits nutzen die Möglichkeit, Module in den Windows-Kernel zu laden. Von dort aus können sie alle Systemzugriffe auf Programmbibliotheken und Anfragen an die Registry überwachen und manipulieren. Fragt etwa ein Programm nach aktiven Prozessen, werden die Prozesse des Trojaners einfach aus der Liste entfernt und der Trojaner bleibt unentdeckt. Das gleiche geschieht, wenn die Registry angezeigt werden soll.
Es ist nicht einfach solche Rootkits zu entdecken. Anfangs reichte es aus, die Systemanfragen mit denen von selbst geschriebenen Routinen zu vergleichen. Seit der Einbindung in den Kernel, muss man die Ausgabeergebnisse mit sehr tiefen Systemschichten vergleichen. Erkennungstool für Rootkits wie etwa Blacklight Eliminator Beta von F-Secure, Microsofts Strider GhostBuster und der Rootkit Revealer von Sysinternals konnten zunächst erfolgreich die Rootkits entdecken. Neuere Versionen der Rootkits - hier tut sich insbesondere Hacker Defender hervor - greifen aber diese Erkennungstools an. Bislang ist der Angriff noch relativ einfach. Es wird versucht, die Prozesse der Tools zu beenden, indem der Dateiname der Tools in einer Liste von 'schädlichen' Prozessen aufgeführt wird. Diesen Angriff kann man aber einfach unterbinden, indem man die Datei des Rootkit-Erkenners umbenennt.
Или вот ещ╦:
Grund dafür, dass Virenscanner Rootkits nicht aufspüren können:
Im Gegensatz zu herkömmlicher Malware, die auf Benutzer-Ebene arbeitet, heften sich
Rootkits tief in das Windows-API (Application Program Interface) ein. Über das API rufen
Anwendungen - also auch Virenscanner und Firewalls - grundlegende Fuktionen des
Betriebssystems auf, etwa Festplatten- oder Registry-Zugriffe. Das Rootkit fängt nun jeden
Aufruf ab und entscheidet, welche Daten die Sicherheits-Anwendung sehen darf. Sucht
beispielsweise ein Virenkiller nach dem Dateinamen des Rootkits, filtert dieses alle
entsprechenden Einträge aus der Antwort des Betriebssystems herraus. Der Trojaner bleibt also unsichtbar.
So entfernt man Rootkits:
Die radikalste Lösung ist die beste - Formatierung und Neu-Installation beseitigen
sämtliche Hacker-Utilities. Anschließend sollte man alle Passwörter neu wählen.
Spezialscanner wie etwa
RootkitRevealer,BlackLight,
Rootkithookanalyzer und IceSword
sind kompliziert und helfen nur Profis beim Aufspüren
und Löschen von Rootkits.
batista1
Я тебе уже написал,что я тебе советую
in Antwort weiser Fuchs 26.08.07 13:15
В ответ на:
Экие мы быстрые!.. Ну, и как же его увидеть тогда можно?
Экие мы быстрые!.. Ну, и как же его увидеть тогда можно?
Возможно я неправильно понял твою цитату,но складывается впечатление,что стоит включить опции "показывать системные файлы" и "показывать скрытые файлы"и ты "увидел" то есть смог удалить Rootkits
Но это не так.Лень своими словами пересказывать
Стоит только почитать в Гогле какие механизмы и трюки они используют и становится ясно,что вс╦ не так просто.Вот мне понравилось:
Rootkits stammen aus der UNIX-Welt. Es wurde versucht dem Systemadministrator, dessen Name auf UNIX-Systemen normalerweise 'root' lautet, Programmversionen von Systemprogrammen (z.B. ps, netstat, passwd etc.) unterzuschieben, die Systemaktivitäten eines Schädlings (oder Angreifers) nicht anzeigte. Nach und nach wurden nicht mehr nur einzelne Programme ausgetauscht. Die Rootkits versuchten in den Kernel zu gelangen, und von dort aus unbemerkt ihre Anwesenheit zu verschleiern. Dieses Prinzip wurde nun auch auf Windows-Rechner übertragen. Neuere Rootkits nutzen die Möglichkeit, Module in den Windows-Kernel zu laden. Von dort aus können sie alle Systemzugriffe auf Programmbibliotheken und Anfragen an die Registry überwachen und manipulieren. Fragt etwa ein Programm nach aktiven Prozessen, werden die Prozesse des Trojaners einfach aus der Liste entfernt und der Trojaner bleibt unentdeckt. Das gleiche geschieht, wenn die Registry angezeigt werden soll.
Es ist nicht einfach solche Rootkits zu entdecken. Anfangs reichte es aus, die Systemanfragen mit denen von selbst geschriebenen Routinen zu vergleichen. Seit der Einbindung in den Kernel, muss man die Ausgabeergebnisse mit sehr tiefen Systemschichten vergleichen. Erkennungstool für Rootkits wie etwa Blacklight Eliminator Beta von F-Secure, Microsofts Strider GhostBuster und der Rootkit Revealer von Sysinternals konnten zunächst erfolgreich die Rootkits entdecken. Neuere Versionen der Rootkits - hier tut sich insbesondere Hacker Defender hervor - greifen aber diese Erkennungstools an. Bislang ist der Angriff noch relativ einfach. Es wird versucht, die Prozesse der Tools zu beenden, indem der Dateiname der Tools in einer Liste von 'schädlichen' Prozessen aufgeführt wird. Diesen Angriff kann man aber einfach unterbinden, indem man die Datei des Rootkit-Erkenners umbenennt.
Или вот ещ╦:
Grund dafür, dass Virenscanner Rootkits nicht aufspüren können:
Im Gegensatz zu herkömmlicher Malware, die auf Benutzer-Ebene arbeitet, heften sich
Rootkits tief in das Windows-API (Application Program Interface) ein. Über das API rufen
Anwendungen - also auch Virenscanner und Firewalls - grundlegende Fuktionen des
Betriebssystems auf, etwa Festplatten- oder Registry-Zugriffe. Das Rootkit fängt nun jeden
Aufruf ab und entscheidet, welche Daten die Sicherheits-Anwendung sehen darf. Sucht
beispielsweise ein Virenkiller nach dem Dateinamen des Rootkits, filtert dieses alle
entsprechenden Einträge aus der Antwort des Betriebssystems herraus. Der Trojaner bleibt also unsichtbar.
So entfernt man Rootkits:
Die radikalste Lösung ist die beste - Formatierung und Neu-Installation beseitigen
sämtliche Hacker-Utilities. Anschließend sollte man alle Passwörter neu wählen.
Spezialscanner wie etwa
RootkitRevealer,BlackLight,
Rootkithookanalyzer und IceSword
sind kompliziert und helfen nur Profis beim Aufspüren
und Löschen von Rootkits.
batista1В ответ на:
советов было много но проблема так и осталась, да конечно не всегда можно е╦ решить через интернет
советов было много но проблема так и осталась, да конечно не всегда можно е╦ решить через интернет
Я тебе уже написал,что я тебе советую
Если Вы все перепробовали и ничего не помогает, то прочтите инструкцию!
26.08.07 19:19
советую тебе на будущее поставить программу акронис и забыть о своих проблемах, хотя каждому сво╦!!
in Antwort batista1 26.08.07 12:01
В ответ на:
да ситуация наколяется,
такую операцию мне непосилу проделать, я в системах не шарю.
если нету болше вариантов, нужно искать спеца, хотя ето тоже проблема
да ситуация наколяется,
такую операцию мне непосилу проделать, я в системах не шарю.
если нету болше вариантов, нужно искать спеца, хотя ето тоже проблема
советую тебе на будущее поставить программу акронис и забыть о своих проблемах, хотя каждому сво╦!!
NEW 26.08.07 20:11
in Antwort batista1 26.08.07 12:11
NEW 26.08.07 22:52
in Antwort BOHH42 26.08.07 19:19
NEW 27.08.07 12:00
in Antwort BOHH42 26.08.07 19:19
Что именно от акрониса ты имеешь ввиду?
Honda Accord 2.2 i-CTDi Tourer Executive,
Honda Civic 2.2 i-CTDi Executive
NEW 27.08.07 12:11
in Antwort Хорошист 26.08.07 16:09
Возможно я неправильно понял твою цитату,но складывается впечатление,что стоит включить опции "показывать системные файлы" и "показывать скрытые файлы"и ты "увидел" то есть смог удалить Rootkits
Неправильно ты меня понял. Я имел ввиду следующее:
1. активировать видимость всех скрытых и системных файлов на системе
2. войти в безопасном режиме и просканировать систему антивирусом
3. когда антивирус обнаружит малварэ, ничего не предпринимать > пойти по указанному адресу, найти файл и удалить его ручками > затем вернуться к антивиру, кликнуть Zugriff verweigern, довести скан до конца
4. провести повторный скан - если ничего не будет найдено, выключить рс и выжрать на радостях бутэль пива
Шансы на успех 50 на 50. Если повторный скан вновь найдёт мальварэ, то читать мой пост за вчерашний день, а про этот забыть. Это я имел ввиду.
Неправильно ты меня понял. Я имел ввиду следующее:
1. активировать видимость всех скрытых и системных файлов на системе
2. войти в безопасном режиме и просканировать систему антивирусом
3. когда антивирус обнаружит малварэ, ничего не предпринимать > пойти по указанному адресу, найти файл и удалить его ручками > затем вернуться к антивиру, кликнуть Zugriff verweigern, довести скан до конца
4. провести повторный скан - если ничего не будет найдено, выключить рс и выжрать на радостях бутэль пива
Шансы на успех 50 на 50. Если повторный скан вновь найдёт мальварэ, то читать мой пост за вчерашний день, а про этот забыть. Это я имел ввиду.
Honda Accord 2.2 i-CTDi Tourer Executive,
Honda Civic 2.2 i-CTDi Executive
NEW 27.08.07 12:13
in Antwort wervik 26.08.07 20:11
У него он есть, да что ему толку от него, если он его и настроить-то пока не может. Ему сперва научиться пользоваться им нужно: как настроить и т. п.
Honda Accord 2.2 i-CTDi Tourer Executive,
Honda Civic 2.2 i-CTDi Executive
NEW 27.08.07 14:40
in Antwort weiser Fuchs 27.08.07 12:11
> 2. войти в безопасном режиме и просканировать систему антивирусом
Лучше Knoppicillin. Там и каспер есть.
Лучше Knoppicillin. Там и каспер есть.