Ovo sranje smo zakacili na poslu. Da li je neko doneo na USB ili je stiglo preko neta, nemam pojma, ali AV ga nije prepoznao.
U slucaju da vam uleti ovo sranje, cisto da vam podelim sta je sve potrebno radi uklanjanja, jer skoro ni jedan AV softver nece da ga prepozna, osim Malwarebytes-a, koji samo fajl uklanja. Sve ostalo morate rucno.
Rootkit ndisvvan.sys pravi klon LAN kartice, samo sto ima oznaku - na kraju, kao i WAN Miniport IP - (sve sa tim minusom). Iskljucuje svaku mogucnost koriscenja prave LAN kartice, a krzo nju preko ovih virtualnih uredjaja salje sebe na druge kompove. Logicno poseje jos po koji fajl i integrise se u registry.
Disableuje ulazak u SafeMode, i zbog toga izbija BSOD pre nego sto udje u safe. Jedino moze da se udje u Directory Services Restore mode. Ima na netu kako to da se popravi. -Google-
Najvise zarazava kompove koji imaju Intelovu integrusu, ali naravno probija se i do ovih regularnih. EDIT: Zasto Intelova integrusa? Jer seje fajlove IGFXxxx32.exe (gde xxx su nasumicna slova, pa neki put umesto 32 stavi 86). I u registryju pored mesta gde se posejao, u reg pravi folder pod nazivom Intel Driver Manager, koji uopste nema veze sa Intelovom grafickom.
Ovde se nalazi info o rucnom uklanjanju sveta sto on pravi, pa mora da se pazi kako se uklanja: http://bit.ly/f2SLjH
Pozeljno je dodatno skeniranje sa Malwarebytesom i KAV-om, ili nekim tezim antivirusom, dok je u Dir Services Restore. Naravno sa svezom definicijom.
Link koji sam dao je star oko godinu dana, ali pravo cudo je da do sada nisu izasle pravilne definicije ili bilo kakve uopste, da bi se Rootkit i sve vezano za njega uklonilo.
Odradio sam pre nove godine jedan računar, vidiš, baš sa integrušom, neki hp brand sklepson. Između ostalog mnogobrojnog smeća, (na računaru bio NOD, ali već bušan i zastareo) bila je i ova rutava kita. Sve sam rešio instalacijom novog win-a, jer nisam uspeo da instaliram LAN adsl vezu a nije mi se razbijala glava šta je sve skenjano. Pozvan sam bio `samo da instaliram telekonj ADSL....` kad ja tamo a ono međutim... Tada sam i primetio da je root ili virus, instalirao sam sebe kao port i preuzeo celokupan saobraćaj. Da nije tako alav i glup napisan na kraju, ko zna kada bi se primetio, možda nikada. Očekujmo klonove sa ispravkama...
Ma dzaba reinstalacija, kada se iseje u restore folder. Opet bi moralo da padne ciscenje kompletno, pa tek onda reinstalacija. Dupli posao. :) A ciscenje oduzima isto vremena koliko jedna instalacija sa pratecim programima, kao i vracanja svega na svoje mesto.
Sad sam nekako izmoljakao da kupimo jedan backup server/Win server za sve podatke u firmi. A kad radite u drzavnoj firmi, godisnje dobijete pare za opremu, ali odjenom to prepolove, pa muljaju.....mislim na ministarstva. Barem ce sad biti lakse, jer mogu tako da vrsim monitoring sta-ko-kako-gde, blokada ovoga i onoga. Lepo, deploy onoga sto bih sredio preko MMC konzole. Nema instaliranja(dobro to je vec blokirano), pokretanja...itd....itd. Jer znate ono, radnici vide na svom kucnom kompu sarenilo, pa zaraze svoj komp, a onda donose neke stvari na flashu. E bre kada Rootkit zaobice admin pass, sve mi je jasno. Glupavi Win i M$.
Ovo je srecom jos i `dobar` Rootkit. Ono sto sam ja imao kuci, unistilo mi je sve exe i scr fajlove na svim particijama i diskovima. A ja lupao glavu jedno 16 puta sto mi Win zeza posle svake instalacije. `ebo kevu koliko je Rootkit bio zajeban. A tek posle 3 dana KAV je izbacio definiciju za njega, pa mi je pre ovog Wina, Win radio osakacen pomalo, ali je radio. Cak i posle nenormalnog ciscenja, brisanja, rescue CD-ova, Gmerova, Combofixova, KAV -ova, KAV je i dalje nalazio neke tragove, dok ga kompletno nije skenjao.
Jel tečo a koji to windows koristiš ,ne reci, XP. U Srbistanu još niko nije čuo za Windows 2003 server, ne daj bože za 2008-cu. Uzmi Linux i nema virusa a niko ne igra igrice u firmi da ti treba Win. Mislim valjda ne igra otkud znam kakva vam je produktivnost ne bi me čudilo da po ministarstvima ceo dan pikaju PES
Broj postavljenih tema: 60283. Broj poslatih odgovora: 646196. Trenutno niste prijavljeni na PC Berzu i zbog toga imate status 'gosta'. Kao gost ne možete da šaljete poruke na Forum. Ako ste registrovani kao član PC Berze, prijavite se. Ako ste novi korisnik, molimo registrujte se da bi dobili mogućnost aktivnog učešća u radu Foruma.
