Problém s rootkitem

[cunik.cz]

Oki zítra to projedu a dám log

[Rudy]

Měl bych tu večer být.

[cunik.cz]

No, dneska jsem pustil PC a nemohl jsem spustit ani ten ZOEK. Antivir mi ho zablokoval a taky cca dalších 90 souborů. Buď je to Droper nebo fileinfactor což je ta horší možnost. Jinak jsem se dočetl že fileinfektory se projevují že infikují ostatní soubory a když je spustíte máte ho v PC znova. Koukal jsem ale že u většiny souborů datum spuštění souhlasí s tím kdy jsem je spouštěl naposledy. Jinak kdyby to opravdu byl fileinfactor tak bych se chtěl zeptat jestli budou nakaženy automaticky všechny počítače v síti protože někde jsem četl že by mohli být a jidne se o tom ani nezmínili. A mobilní telefony asi ohroženy nebudou ne?

[Rudy]

Chytré mobily by také měly mít ochranu. Některé fileinfektory se mohou šířit i po sítě, není to ale pravidlo. Jinak ZOEK je zcela regulérní utilita k čištení prohléžečů, takže bez obav.

[cunik.cz]

Chytré mobily by také měly mít ochranu. Některé fileinfektory se mohou šířit i po sítě, není to ale pravidlo. Jinak ZOEK je zcela regulérní utilita k čištení prohléžečů, takže bez obav.

No já jenom jestli když to je opravdu fileinfactor tak jestli mi opravdu ten soubor nenakazil. A taky jsem udělal takový pokus že jsem stáhl přes mobil jednu instalačku a přes Bluetooth si ji nahrál do PC. Dvakrát jsem ji spustil a antivir nic nehlásil. Předchozí soubory (i ten zoek) zablokoval. Myslíte že je to obyčejný Dropper nebo fileinfactor? Jinak jako antivir používám Bitdefender ale bohužel tedy nevím jak vypnout ochranu popř. dát do výjimek. A taky nevím jestli to opravdu není nakažené.

[Rudy]

Pokud vím, nakažený ZOEK jsem dosud nezažil. Spíše vám ho blokovalo něco v systému. Pokud máte pochybnosti o svém antiviru, zkuste sken MBAM: http://www.malwarebytes.org/mbam.php .

[cunik.cz]

Ne o antiviru nemám pochyby protože co se kouknu na nějaký aktuální test tak je tam na prvním místě. Jinak kdybych dal log tak se asi pozná co jsem ve skutečnosti chytnul ne?

[Rudy]

To jistě. Nálezy si ovšem můžete i vygooglit. Já když něco neznám také googlím a nestydím se za to.

[cunik.cz]

Jj to máte pravdu. Proč se to tady taky učím že. A rovnou to zkusím smáznout pomocí OTM. Tedy pokud to bude pouze ten Dropper. Jinak reinstal. Četl jsem totiž že pokud to opravdu bude ten Virut tak nemá cenu se to mazat.

[Rudy]

Přesně tak. Napsal jsem to právě proto, že se tu učíte. Normálnímu smrtelníkovi bych to neudělal. Je to pro vaše dobro.
Co se týče virutu, tam se doporučuje hodit ručník do ringu a celé to přeinstalovat. I já to udělal, když mi PC nakazili děti. Viruta se mi podařilo vyléčit snad 2x. Virut už je naštěstí za zenitem.

[altrok]

Muzu ze zvedavosti poprosit o log z MBARu? Jaky konkretni rootkit nasel?

Jinak tímto se potvrdilo že jsou už i GPT viry.

Jak uz Rudy rekl, rootkit v PC dle dosavadnich logu nemas. Vsechny nalezy jsou pouze zneuziti IFEO. Malwarebytes ma o teto problematice na svem blogu hezky clanek. Nesouhlasim s tvrzenim, ze hijacknuti IFEO znamena vyskyt GPT viru. ESET v aktualni verzi pridal funkci skenovani GPT, takze v pripade podezreni na napadeni GPT muzes vyzkouset. Na zavery budu zvedavej.

[cunik.cz]

Muzu ze zvedavosti poprosit o log z MBARu? Jaky konkretni rootkit nasel?

Jinak tímto se potvrdilo že jsou už i GPT viry.

Jak uz Rudy rekl, rootkit v PC dle dosavadnich logu nemas. Vsechny nalezy jsou pouze zneuziti IFEO. Malwarebytes ma o teto problematice na svem blogu hezky clanek. Nesouhlasim s tvrzenim, ze hijacknuti IFEO znamena vyskyt GPT viru. ESET v aktualni verzi pridal funkci skenovani GPT, takze v pripade podezreni na napadeni GPT muzes vyzkouset. Na zavery budu zvedavej.

Toto jsem psal dříve než jsem vůbec věděl že tam mám pouze Browser Hijacker a ne rootkit. Neboť pojem Security Hijack je poněkud zmatečný

[cunik.cz]

No tak jsem to projel FRST a nic jsem tam nenašel. Ovšem když jsem chtěl otevřít zoek tak mi ho antivir zase zablokoval. A po cca deseti sekundách se objevilo že to zablokovalo dalších deset procesů. Ale jenom poté co zapnu ten zoek. Co myslíte je to Virut nebo obyčejnej dropper?

Log jsem upnul na uložto protože mi to nešlo dát jako příloha a v telefonu mi to nešlo zkopírovat

Kód: Vybrat vše

https://uloz.to/!uYU5viJk3YtW/frst-txt

Adition.txt

Kód: Vybrat vše

https://uloz.to/!WYu5gBwL351p/addition-txt

Tady jsem vyfotil ten list blokovaných aplikací

Kód: Vybrat vše

http://imgway.cz/s/4l2

[altrok]

Ovšem když jsem chtěl otevřít zoek tak mi ho antivir zase zablokoval. A po cca deseti sekundách se objevilo že to zablokovalo dalších deset procesů. Ale jenom poté co zapnu ten zoek. Co myslíte je to Virut nebo obyčejnej dropper?

Ani jedno. Ja si myslim, ze je to false positive.

[cunik.cz]

To je možný. Zítra si zkusím každý soubor vygooglit ale jinak asi máš pravdu.