četrtek, 24. september 2009

Korenje

Včeraj sem napovedal vojno korenju in z računalnika počistil korenski komplet (rootkit). No, vsaj upam, da sem vse počistil. (Imel naj bi vsaj to in zlobno verzijo winlogon.) Te stvari so prefinjene in se znajo dobro skrivat. Antivirusni program ga namreč sploh ni zaznal, posumil sem zgolj zaradi sumljivega delovanja sistema: počasno kopiranje, izginile so "možnosti mape", zagon v start meniju, za določene operacije (urejanje storitev in registra) naj bi se kar naenkrat moral obrniti na skrbnika (l'administrateur c'est moi!!!) ...

Na srečo se je ravno včeraj v Ljubljano vrnil moj cimer. Po stari navadi se mi je najprej smejal v obraz, potem je miška nekajkrat plavala hrbtno (kako pokazat, da se je računalnik obesil? miška crkne in obleži na hrbtu =D) in sva oba cepala od smeha, nato pa mi je pomagal, da sva iztrebila golazen.

Uporabni programčki za to početje: Sophos Anti-Rootkit, RootRepeal, Dr. Web CureIt!, FixPolicies, ComboFix ...
SpyBot S&D (na sliki) je v takih primerih nemočen. Sicer je opazil, da je nekaj narobe, a odpravil samo posledice in ne vzroka.

ps: Vsem, ki ste si od mene v zadnjem času sposojali USB, priporočam, da pregledate svoj računalnik. Pa izklopite autoplay, ki omogoča, da se zlobni programi samodejno poženejo takoj ko priklopiš okužen zunanji podatkovni nosilec!

ps2: Po pregledu drugega USB ključka in domačega računalnika (sta ok) sumim, da sem nesnago najverjetneje staknil šele v ponedeljek, ko sem šel v kopirnico tiskat diplomsko nalogo.

2 komentarja:

Michal pravi ...

Hi, interesujące informacje na temat procesów systemowych i złośliwego oprogramowania są process-info.org.

jAKOB pravi ...

komentar iz Češke (google translate mi sicer pravi, da je tekst v poljščini). kakorkoli, lepo presenečenje :) hvala, Michal!

torej, kot vidim je omenjena stran zelo podobna stani http://www.processlibrary.com/, na katero sem v prispevku podal povezavo.
o osveženosti in točnosti podatkov na eni ali drugi ne morem sodit, sta pa skoraj brez dvoma uporabni, saj vsaj nakažeta, kateri procesi so nedolžni, kateri sumljivi in katerih se moramo po hitrem postopku znebiti.