ACER aspire ONE, vir v servisni partition

[THEuda]

Hoj, mám tu ACER ASPIRE ONE S HDD je na něm zajímavej úkaz. NTB byl zavirován, pomoci combofixu a trial NORTONA 2010 vyléčen. Samozřejmě až sem je to správně . Má to jedno zajímavé ALE Když provedu ALT F10 recovery do defaultu, tak mě jakýkoli antivir hlásí VIR, skutečně tam je u nortona co tam teď je, hlásí = trojan Horse =, když se udělá jeden restart navíc, nenechá vás ani lognout do účtu. Píše že nemáte práva a chce heslo. Po logu přez admina je účet bez hesla Samozřejmě že jde dostat pryč, ale zajímalo by mě zda někomu zalezl vir do ty servisní prtition nebo to tam je přímo od ACERU

[Rudy]

Otestujte soubor online na www.virustotal.com .

[THEuda]

jsou to soubory
smss.exe
svhost.exe
explorer.exe

jde to z toho systému vyléčit, ale sranda je že po default recovery je to tam z5 po popisu problému symantec podpoře je to skutečně v tý sevisní partition . Takže jsem zvědav co na to ACER

Třeba to byl bonus k tomu NTB

[Rudy]

Ty soubory by měly být legitimní v případě, že ten druhý je svchost.exe (nikoli svhost). Teď jde jen o to, zda nejsou něčím napadeny. Proto je nutné otestovat je na virustotal. Byla by to záhada, jak by se dostal vir do service partition.

[THEuda]

provedl jsem format přístupné části a fixmbr. Fakt mě příjde, že to jde už z ACERu v tý partition.

[Rudy]

Ty soubory jsou systémové (za předpokladu, že jde o smss.exe, explorer.exe a svchost.exe). Pokud by vnich byl vir, muselo by jít o vir souborový (nikoli trojan). proto mne zajímal ten test na VT. Pochybuji, že by ACER dával do servisní partice něco nelegitimního.

[THEuda]

tu hlášku o trojanu vyhodil NORTON 2010, po smazáni servisní partition vše OK. Obecně se do této části partition vir jen tak nezaleze, takže zbejvá možnost že tam musel bejt, když se partition zamykala

[Rudy]

Obecně se do této části partition vir jen tak nezaleze....

No právě. Jen mi není jasné, jak se tam mohl dostat. Osobně se s tím setkávám poprvé.