Bojujem s jednym virusom

NOD ho identifikuje ako nejakeho trojana (tipujem, ze zle lebo ho najde len hlbkovou analyzou inak nie).
Vir je ulozeny v system32/cbxxwvw.dll a sem tam si namnozi nejake obdobne dllky. Problem je, ze je uadeny v operacnej pamati a nahooknuty na snad vsetky exace, ktore su v systeme. Najhorsie je, ze sa spusta zaroven s winlogon.exe (explorer.exe....atd) a este aj ako skryty systemovy proces (odhali ho az unlocker). Nepomaha ani unlocker ani cistenie registrov (hned po zmazani sa obnovuje zapis). Nevie ma niekto posunut trosku dalej ako momentalne som;o)?
Ked zakilujem vsetko co mozem a skusim ho zmazat cez taskmgr tak sa tam pre istotu neukaze (tipujem, ze vtedy je usadeny len v ramke).

Předmět	Autor	Datum
Predpokladam, ze vsechny tyto akce provadis v nouzovem rezimu. Muzes jeste zkusit v Recovery Console… Jan Fiala 08.02.2007 12:54	Jan Fiala	08.02.2007 12:54
Samozrejme ze pouzivam aj nudzovy rezim. Vidis ta consola ma nenapadla. ASi by to mohlo fungovat. Po… fleg 08.02.2007 13:09	fleg	08.02.2007 13:09
este otestuj na rootkity s RootkitRevealer-om. IgorK 08.02.2007 13:19	IgorK	08.02.2007 13:19
jj to ma napadlo ze ked je to takto prefikane (hlavne ten skryty proces) ci to nebude rovno rootkit. fleg 08.02.2007 13:23	fleg	08.02.2007 13:23
Co kdybys nabootoval z nějakého live linuxu a odtama to na disku smazal? L-Core 08.02.2007 12:58	L-Core	08.02.2007 12:58
a ako chces asi vykonavat akcie na ntfs particii;o)? fleg 08.02.2007 13:07	fleg	08.02.2007 13:07
Ale taková informace v zadání nebyla ;-) L-Core 08.02.2007 13:17	L-Core	08.02.2007 13:17
No tak live WinXP, no. :-p Si snad poradíš, ne? Ještě připomenu, že by se možná mohl hodit Process… host 08.02.2007 13:19	host	08.02.2007 13:19
Mozno aj nie;o). Priznam sa ze live cd XP som este v zivote nemal v ruke. Ono doteraz na to nebol zi… fleg 08.02.2007 13:22	fleg	08.02.2007 13:22
No vidíš, a teď ten důvod je, a ty jsi nepřipraven. ;-) Pro "odvirovávače" je Live CD praktická věc. host 08.02.2007 13:27	host	08.02.2007 13:27
Ja pouzivam live cd (linux) akurat tak na testy hw. Na viry si stacim s tym co viem. Zatial. fleg 08.02.2007 13:33	fleg	08.02.2007 13:33
Slax 5.1.8 - added newest NTFS-3g beta version, NTFS writing now works, I hope 168188 nononot 08.02.2007 13:27	nononot	08.02.2007 13:27
toto viem ale je to beta a za nic sa neruci...a pc nie je moj ale zakaznikov;o). fleg 08.02.2007 13:32	fleg	08.02.2007 13:32
Tak nakopol ma vlastne JaFi (aj ked neviem preco ma to nenapadlo sameho). Zmazal som tu matku z konz… fleg 08.02.2007 13:31	fleg	08.02.2007 13:31
Já mám pro strýčka příhodu tohle: http://www.torrentportal.com/details/139172/miniPE_ 2005-XT_(Septe… nononot 08.02.2007 13:40	nononot	08.02.2007 13:40
Zdá se, že je všechno už OK. Jakým způsobem byl nastaven NOD a je to trialka nebo plná verze? poslední Fuente 10.02.2007 16:22	Fuente	10.02.2007 16:22

Predpokladam, ze vsechny tyto akce provadis v nouzovem rezimu.
Muzes jeste zkusit v Recovery Console vymazat/prejmenovat DLL, ktere vir pouziva

Samozrejme ze pouzivam aj nudzovy rezim. Vidis ta consola ma nenapadla. ASi by to mohlo fungovat. Podla vsetkeho je cbxxwvw matka, ktora tvori vsetky dalsie mutacie takze ak znicim to mal by byt pokoj.

este otestuj na rootkity s RootkitRevealer-om.

jj to ma napadlo ze ked je to takto prefikane (hlavne ten skryty proces) ci to nebude rovno rootkit.

Co kdybys nabootoval z nějakého live linuxu a odtama to na disku smazal?

a ako chces asi vykonavat akcie na ntfs particii;o)?

Ale taková informace v zadání nebyla

No tak live WinXP, no. Si snad poradíš, ne?

Ještě připomenu, že by se možná mohl hodit Process Explorer od Sysinternals.

Mozno aj nie;o). Priznam sa ze live cd XP som este v zivote nemal v ruke. Ono doteraz na to nebol ziaden dovod;o).

No vidíš, a teď ten důvod je, a ty jsi nepřipraven. Pro "odvirovávače" je Live CD praktická věc.

Ja pouzivam live cd (linux) akurat tak na testy hw. Na viry si stacim s tym co viem. Zatial.

Slax 5.1.8 - added newest NTFS-3g beta version, NTFS writing now works, I hope
168188

toto viem ale je to beta a za nic sa neruci...a pc nie je moj ale zakaznikov;o).

Tak nakopol ma vlastne JaFi (aj ked neviem preco ma to nenapadlo sameho). Zmazal som tu matku z konzoly a zda sa, ze vsetko je uz ok.

Já mám pro strýčka příhodu tohle:
http://www.torrentportal.com/details/139172/miniPE_ 2005-XT_(September-latest).3389459.TPB.torrent.htm l
ale na svém PC to nevyužiji (mám Kubuntu). Jsem domácí uživatel a IT mne neživí.

opraven link (host)

Zdá se, že je všechno už OK. Jakým způsobem byl nastaven NOD
a je to trialka nebo plná verze?

Zpět do poradny Odpovědět na původní otázku Nahoru