Jak prześledzić zmiany wprowadzone przez wirusa


(Marek Kossak) #1

Witam.

Udało mi się wyizolować wirusa, który zainstalował się w mojej szkole na prawie wszystkich komputerach i infekuje wszystkie pendrive jakie do nich zostają podłączone. Chciałbym się dowiedzieć w jaki sposób mogę się dowiedzieć/prześledzić jakie zmiany wprowadza do komputera po uruchomieniu się (zmiany w rejestrach, plikach itd).


(system) #2

Można to m.in. zrobić przez przeskanowanie komputera tym programem: http://www.majorgeeks.com/Norman_Malwar ... d5450.html Wszelkie zmiany będą w logu na Pulpicie oraz na bieżąco w oknie programu. Program należy uruchomić z ustawieniami firmowymi w trybie Quick (najpierw), zrestartować komputer, a potem Full (kilka godzin!).


(krzych5610) #3

wykonaj skanowania na wszystkich komputerach z podłączonymi pendrive:

Raporty ze skanowania.

Raporty OTL - otl-gmer-rsit-dss-inne-instrukcje-t370405.html

-- Dodane 22.11.2011 (Wt) 12:46 --

Możesz przedstawić tego wirusa.


(Marek Kossak) #4

@Poraj niestety prócz miejsca gdzie się zagnieździł wirus nie dowiedziałem się nic nowego... Potrzebuję wiedzieć gdzie jeszcze są zmiany wprowadzane. Np. jednym z objawów jest blokada możliwości wyświetlenia plików ukrytych i systemowych czyli grzebał gdzieś w rejestrach a sam fakt, że infekuje pendrive i tworzy na nim nowe foldery, skróty i tego typu rzeczy świadczy, że musi mieć albo aktywny proces (którego nie widać bo może udawać inny program windowsowy) albo uruchamia się po wykryciu podłączonego sprzętu (czyli znów rejestry lub coś innego).


(Acorus) #5

Przy podpiętych pendrivach Użyj USBFix http://www.teamxscript.org/usbfixTelechargement.htmlhttp://www.speedyshare.com/files/30067579/UsbFix.exe

Kliknij w nim na przycisk "DELETION" (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).

Daj raport z tego narzędzia.


(Marek Kossak) #6

Niestety teraz nie mam dostępu do zainfekowanych kompów a na maszynie wirtualnej występują jakieś błędy i aplikacja nie startuje :confused: