 |
Ogólnopolski Klub Tempra Tipo Team
|
|
Trojan |
| Autor |
Wiadomość |
Emf 
Pomógł: 26 razy
Wiek: 47
Dołączył: 16 Sty 2005
Posty: 2668
Skąd: Piotrków Trybunalski
Województwo: Łódzkie
|
 Wysłany: 02-12-2007, 21:49 Trojan
|
|
|
Kto się spotkał z takim trojanem:
Trojan-Downloader.Win32.Zlob.cen
Na żadnej polskiej stronie nc o nim nie ma.
NOD go wykrywa ale nie da rady usunąć.
Skaner Kasperskiego go też wykrywa, jedynie wykrywa.
Próbowałem go za pomocą hijackthisa (przegląda rejestr i podejrzane wpisy) wyłapać ale skurczybyk tak się ukrywa, że nie ma po nim śladu w rejestrze .
Czy macie jakiś sposób, czy zostaje format?
To komp Siostry i Szwagra i wolałbym usunąć tylko robaka zamiast w format się bawić  |
_________________
Była Włoszka.
Był Niemiec.
Teraz jest Francuz.
 |
|
|
|
 |
unknown
Pomógł: 66 razy
Wiek: 41
Dołączył: 17 Mar 2005
Posty: 3978
Skąd: |°Bielsko-Biała°|
Województwo: Śląskie
|
| Wysłany: 02-12-2007, 22:54
|
|
|
ja tego typu u ludzi trojany ręcznie usuwałem...
generalnie downloader'a jest cała rodzina odmian, akurat twojej może nie znać nod i nie umieć usunąć, ponieważ proces jest aktywny...
uruchomionego procesu może nie umieć wyłączyć NOD, a jak plik z procesem jest otwarty (bo uruchomiony) to pliku z dysku też nie skasujesz...
generalnie musiałbyś znaleźć np wg daty (o jej zmianę downloader nie dba) co doszło oraz co jest aktywne w systemie...
downloader chowa się w podkatalogach windy zazwyczaj, robi jeden główny plik/aplikację z której dopiero robi co restart (jeśli byś je usunął) kopie i dopiero te kopie są właściwie aktywne w systemie...
programami typu killbox czy jakoś tak, nazwa mi teraz uciekła, można na siłę zamknąć procesy/programy otwarte w windzie, nawet jak sama winda pisze, że nie można, to nimi zamkniesz, tylko musisz nieco znać system by odróżnić standardowe systemowe od fałszywek.
Po pozamykaniu wszystkich aktywnych kopii downloadera można usunąć jego pliki ręcznie, a dla świętego spokoju np notatnikiem zerobajtowe pliki o atrybutach ReadOnly i Systemowy o tej samej nazwie i rozszerzeniu ustowrzyć, by ich downloader nie umiał zastąpić po restarcie, choć nie jest to krok konieczny zazwyczaj. Pozamykać jego kopie/ włączone procesy i pokazsować z dysku, jednocześnie musisz poszukać 'źródła' które na moment startuje z systemem i tworzy kopie i je włącza po czym znika;
ścieżkę do źródła na dysku znajdziesz pewno w jednym z typowych miejsc w rejestrze
(edytor rejestru: start-uruchom-"regedit") jak np Hkey_Local_Machine\Software\Microsoft|windows\currentVersion\Run i tam będzie prócz innych autostartowanych aplikacji jakiś wpis do usunięcia, ew RunOnce końcówka ew RunOnceEx albo to samo ale na początku HkeyUsers\(użytkownicy różni)\software... i tak dalej
albo zamiast \windows\ jest też \windoswNT a w tym "Load" wartość, ew użyć programiku typu startup.cpl który sam Ci te miejsca w większości wskaże skąd startują wszelkie takie dodatki.
Poczyścić musisz wszystkie miejsca autostartowe, głwnie te w/w w rejestrze windows, by robak nie mógł wystartować i się odtworzyć, wcześiej zamykając kilboxem czy czymś uruchomione jego procesy. o zamknięciu skasować pliki z tymi procesami, co restart kopie mogą si inaczej, śmiesznie nazywać np C:\windows\System\abcdfffg.exe czy jakkolwiek; aktualne skasuj; no i źródło, do którego ścieżkę w rejestrze znajdziesz, nietypowe coś co się uruchamia.
Antywirusy tak postępować nie potrafią i zamknąć na siłę procesu uruchomionego maskującego się jako część struktury windows, programy "kill"ujące na siłę potrafią takie zamknąć by je można skasować...
wiem, że może trudno to wytłumaczyć, ale tak to wygląda, ja to robię ręcznie zawsze w w/w sposób, choć powinienem Ci może dokładniej opisać, nie wiem na ile znasz systemy typu windows i PCty...
jak nie pozamykasz downloadera, źródła i kopii, to działa on tak, że sam w sobie jest tylko downloaderem typowym, czyli uruchamia się, potem swoje kopie tworzy i je uruchamia a sam znika (kopie, byś jak je zajarzysz je usunął a źródło było bezpieczne), a dopiero właściwe kopie uruchomione rozpoczynają pobieranie z internetu wszelkiej maści spamu, 'dodatków' do internet explorera, wirusów, adware i innych śmieci...
sam downloader jak nie masz połączenia z netem i nic nie pobrał nie jest jakoś groźny by coś zniszczył, póki nic nie pobierze, jedynie zwalnia system cały czas się aktywując i próbując pobrać...
antywiry nie umią pozamykać jego kopii tak brutalnie, nie umią znaleźć źródła często, a co odmiana to inny....
ew jak znajdzie już antywir go to wtedy jak Ci wskazuje plik którego nie umie usunąć i pauzuje komunikatem to spróbój ręcznie usunąć plik, a jak winda napisze, że nie można bo aktywny to killboxem czy innym programem do zamykania programów 'na siłę' ten nieusuwalny wyłącz, wtedy będziesz mógł ręcznie go usunąć a antywir poleci dalej... i tak do końca... to krótsza drogia i łatwiejsza, choć nie wszystko antywir może znajdzie ale możliwe, że tobie starczy tak...
** Dodano: 02-12-2007, 22:58 **
zrobiłbym Ci to od ręki  ale trochę daleko 
ew jak se nie dasz rady a zależy Ci na systemie, a masz tam XPka to możemy pogadać byś włączył zdalny pulpit na przykład albo VNC, podasz mi IP i parametry to się podłączę kiedyś wieczór jak będę miał chwilę i Ci wydłubię tego robola... choć łatwiej jest być przy kompie, bo czasem się trza dostać na awaryjnym czy jakoś bez uruchamiania netu... |
_________________
była niezawodna 1.6 Gaźnik LPG...jest Celica V 2.0 GTi na razie się trzyma kupy  http://www.nizu.pl |
|
|
|
|
Emf
Pomógł: 26 razy
Wiek: 47
Dołączył: 16 Sty 2005
Posty: 2668
Skąd: Piotrków Trybunalski
Województwo: Łódzkie
|
| Wysłany: 02-12-2007, 23:19
|
|
|
Dzięki UNK.
Część z tego jest dla mnie mało zrozumiała ale reszta mi się przyda |
_________________
Była Włoszka.
Był Niemiec.
Teraz jest Francuz.
|
|
|
|
|
|
titanea
Pomógł: 3 razy
Wiek: 43
Dołączył: 05 Gru 2006
Posty: 165
Skąd: Lubaczów
Województwo: Podkarpackie
|
| Wysłany: 04-12-2007, 17:46
|
|
|
No dobra ale po jakiego odpalać tipka pchając go pod górkę jeśli można kluczykiem, zainstaluj sobie jakiś programik do usuwania Trojanów (SpyBot - S&D) zrób uaktualnienie uruchom ponownie system w awaryjnym i przeskanuj całego kompa na pewno go znajdziesz i wywalisz poniewarz większość śmieci maskuje się pod pliki DLL a w awaryjnym się one nie uruchamiają w większości. Jeśli ci to nie pomoże możesz spróbować w inny sposób zainstaluj sobie Nortona i najnowsze aktualizacje potem z restartować kompa ustaw aby startował z płyty zapuść płytę z nortonem i skana mu z pod dosa leci bardzo szybko i kosi co popadnie 
Ps. Musisz mieć Nortona na krążku z bootem albo cały pakiet Norton System Works |
_________________
TIPO 1.4 I.E. 93 r. Gaźnik, Bialutki można go nazwać również TARANEM ;]
http://img137.imageshack....62/dowodya4.jpg
Ford Escort 1,8 TD MK VII Ghia - 1998 |
|
|
|
|
|
Emf
Pomógł: 26 razy
Wiek: 47
Dołączył: 16 Sty 2005
Posty: 2668
Skąd: Piotrków Trybunalski
Województwo: Łódzkie
|
| Wysłany: 04-12-2007, 21:09
|
|
|
| titanea, spróbuję jeszcze z tym trybem awaryjnym bo w normalnym próbowałem i nie dawał rady SpyBot. |
_________________
Była Włoszka.
Był Niemiec.
Teraz jest Francuz.
|
|
|
|
|
|
titanea
Pomógł: 3 razy
Wiek: 43
Dołączył: 05 Gru 2006
Posty: 165
Skąd: Lubaczów
Województwo: Podkarpackie
|
| Wysłany: 05-12-2007, 18:01
|
|
|
| Podstawa, jeśli masz jakieś śmiecie na kompie i wywalisz je w trybie normalnym to powinno się ( jest wskazane tylko nikt o tym nie pisze ) skanować w Awaryjnym bez obsługi internetu tzw. Golas. |
_________________
TIPO 1.4 I.E. 93 r. Gaźnik, Bialutki można go nazwać również TARANEM ;]
http://img137.imageshack....62/dowodya4.jpg
Ford Escort 1,8 TD MK VII Ghia - 1998 |
|
|
|
|
|
unknown
Pomógł: 66 razy
Wiek: 41
Dołączył: 17 Mar 2005
Posty: 3978
Skąd: |°Bielsko-Biała°|
Województwo: Śląskie
|
| Wysłany: 05-12-2007, 18:28
|
|
|
no warto spróbować, choć te wersje downloaderów które ja czyściłem nie były ukryte jako biblioteki dll, szczerze to raczej nigdy nie bywają, przynajmniej downloader, ale jako normalne aplikacje EXE; zresztą nie muszą się maskować bo aktywne są zawsze świeżo zrobione ze źródła, co restart, kopie, więc jak je nawet usuniesz to wrócą za restart inne kopie, najwyżej nazwa pliku się wylosuje inna o literkę/literki...
w trybie awaryjnym downloader które usuwałem też się ładowały; bo były tak pochowane w rejestrze oraz jako sterowniki (widoczne np w panel sterowania-zarządzanie /admin. kompem/usługi)... jedyne co można było to ręcznie przekopać rejestr itp i 'zabić' procesy na siłę i wtedy pokasować włącznie ze źródłem co by nie zdążyły za restart się odtworzyć... S&D usuwał mi tylko kopie, źródła nie znajdywał, bo było jako plik exe 'skompresowany' (można aplikacje exe kompresować i pozostają jako exe, przy uruchomieniu tylko się do pamięci rozpakowują jakby; nie jest to pakowanie jak do ZIPa , inne coś powiedzmy, ale maskuje kod i antywiry tego nie widzą...)
no ale spróbuj w awaryjnym... |
_________________
była niezawodna 1.6 Gaźnik LPG...jest Celica V 2.0 GTi na razie się trzyma kupy http://www.nizu.pl |
|
|
|
|
|
Emf
Pomógł: 26 razy
Wiek: 47
Dołączył: 16 Sty 2005
Posty: 2668
Skąd: Piotrków Trybunalski
Województwo: Łódzkie
|
| Wysłany: 05-12-2007, 20:32
|
|
|
No awaryjny pomógł
S&D go nie zabił ale skurczybyka można było dorwać w ścieżce, którą podawał NOD.
Następnie DELETE i gościa nie ma
Jak odpalało się w normalnym to NOD podawał określoną ścieżkę ale tego skurczysyna tam nie było. |
_________________
Była Włoszka.
Był Niemiec.
Teraz jest Francuz.
|
|
|
|
|
|
Hipo
Pomógł: 30 razy
Wiek: 42
Dołączył: 30 Kwi 2007
Posty: 2082
Skąd: Jarosław
Województwo: Podkarpackie
|
| Wysłany: 10-12-2007, 19:07
|
|
|
| Pomimo ze problem rozwiażany to jeszcze napisze jeśli w przyszłości ktoś trafiłby na nieusuwalne gówno nawet spod awaryjniaka. Mianowicie sprawdza się dyskietka startowa lub bootowalny CD z Win98, na takiej płytce jakiś menadzer plików np Norton Commander lub DoS Navigator i dzięki odpaleniu kompa w czystym DOSie możemy skasować każdy plik z dysku, łacznie z całym Windowsem ... |
_________________
Marea 2.4 TD HLX
JCB 3CX Contraktor |
|
|
|
|
|
titanea
Pomógł: 3 razy
Wiek: 43
Dołączył: 05 Gru 2006
Posty: 165
Skąd: Lubaczów
Województwo: Podkarpackie
|
| Wysłany: 10-12-2007, 21:38
|
|
|
| Hipo napisał/a: | | Pomimo ze problem rozwiażany to jeszcze napisze jeśli w przyszłości ktoś trafiłby na nieusuwalne gówno nawet spod awaryjniaka. Mianowicie sprawdza się dyskietka startowa lub bootowalny CD z Win98, na takiej płytce jakiś menadzer plików np Norton Commander lub DoS Navigator i dzięki odpaleniu kompa w czystym DOSie możemy skasować każdy plik z dysku, łacznie z całym Windowsem ... |
Hehe dobre dobre i oczywiste dla kogoś kto ma jakowe pojęcie ale jak wiadomo nie każdy zna najprostsze komendy z pod DOS'a tym bardziej że są ludzie których sie spytasz czy widział kiedyś WIN98 baa ME to ci odpowie ""a co to??"" i tłumacz takiemu o DOS'ie.
Nie przepadam za XP jak i w ogóle za Winszitami choć używam ale XP ma taką małą zaletę, że jeśli potrafisz i wiesz jak, to z pod AWARYJNEGO możesz wywalić XP (warunek nie w NTFS) więc każde gówno idzie wywalić z awaryjnego nawet laik z dostępem do neta tylko trzeba poszukać w Google  . |
_________________
TIPO 1.4 I.E. 93 r. Gaźnik, Bialutki można go nazwać również TARANEM ;]
http://img137.imageshack....62/dowodya4.jpg
Ford Escort 1,8 TD MK VII Ghia - 1998 |
|
|
|
|
|
Hipo
Pomógł: 30 razy
Wiek: 42
Dołączył: 30 Kwi 2007
Posty: 2082
Skąd: Jarosław
Województwo: Podkarpackie
|
| Wysłany: 11-12-2007, 18:24
|
|
|
| Zapomniałem że czasy w których każdy znał CLS, CD, RD, MD i resztę mineły |
_________________
Marea 2.4 TD HLX
JCB 3CX Contraktor |
|
|
|
|
|
Sapphiron
Pomógł: 9 razy
Wiek: 36
Dołączył: 09 Paź 2007
Posty: 1395
Skąd: Lublin
Województwo: Lubelskie
|
|
|
|
|
|
unknown
Pomógł: 66 razy
Wiek: 41
Dołączył: 17 Mar 2005
Posty: 3978
Skąd: |°Bielsko-Biała°|
Województwo: Śląskie
|
| Wysłany: 15-12-2007, 13:16
|
|
|
istnieją, niektórzy na tym zarabiają...
pod dosem też NTFSa można odczytać, starczy do bootowalnej płytki z w98 na przykład wrzucić sobie ntfs loader jakiś i nawet norton zobaczy...... |
_________________
była niezawodna 1.6 Gaźnik LPG...jest Celica V 2.0 GTi na razie się trzyma kupy http://www.nizu.pl |
|
|
|
|
|
poldek
Pomógł: 1 raz
Wiek: 48
Dołączył: 23 Lis 2007
Posty: 470
Skąd: Kraków
Województwo: Małopolskie
|
| Wysłany: 15-12-2007, 14:52
|
|
|
| po pierwsze to wyłanczasz kabel od neta i wszystkie trojany kasujesz prosta sprawa najzwylkejszym antywirusem typu avast |
_________________
Byl 126p-fiat128-fiat125-bmw e21 rekin 2.0 TIPO 1.4 sedici jest focus 1.6 Zetec |
|
|
|
|
|
Emf
Pomógł: 26 razy
Wiek: 47
Dołączył: 16 Sty 2005
Posty: 2668
Skąd: Piotrków Trybunalski
Województwo: Łódzkie
|
| Wysłany: 16-12-2007, 01:00
|
|
|
poldek46, bez urazy, ale z takimi uwagami to wejdź na forum czytelników BravoGirl.
 |
_________________
Była Włoszka.
Był Niemiec.
Teraz jest Francuz.
|
|
|
|
|
|
ubek
Pomógł: 50 razy
Wiek: 40
Dołączył: 14 Sie 2007
Posty: 3790
Skąd: Heilbronn
Województwo: Other
|
| Wysłany: 16-12-2007, 01:10
|
|
|
| Zamiast korzystać z DOSa można zastosować Pingwina. Wolniej niż w DOSie,ale równie skutecznie. |
_________________
K.W.A. - Kamikaze Wariaty Alkoholicy
Przy 200 ciężko jest zobaczyć 40 na znaku
www.tomekmichalik.pl |
|
|
|
|
|
|
|
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Nie możesz ściągać załączników na tym forum
|
Wersja do druku
|
© 2004-2011 by tempra.org & Fiat Klub Polska
Wypowiedzi oraz zdjęcia należą do ich autorów. Nie odpowiadamy za ich treść.
Zabrania się kopiowania zdjęć, treści oraz plików zawartych na tej stronie bez zgody administracji.
|
Szukaj
Rejestracja
Zaloguj
