Jestem akurat u takiego jednego znajomego i on ma komputer, tak jak ja
Ale zauważyłem, że on bardzo “wolno” działa, a dyski uruchamiają się w osobnych oknach. Zaniepokojony próbowałem wyłączyć ukrywanie plików i folderów i tutaj pierwszy objaw - NIE DAŁO SIĘ TEGO WYŁĄCZYĆ! Brak działania funkcji. Odpaliłem WinRara i pojawiła się masa dziwnych plików sm.exe, f.cmd, f.bat, jakieś tam cyfry i różne tam nijakie rzeczy. NOD32 nic nie wykrywa, mimo, że jest aktywny. W tych plikach nic nie wykrywa. Są dziwne pliki systemowe, a na każdym dysku jest plik autorun.inf i pliki info.exe w folderach Recycled / Recycler.
Podejrzewam wirusa z pendrive’a.
Prosiłbym o jak najszybszą pomoc. Oczywiście problem dotyczy komputera znajomego.
Na początek pytanie: Z jakich programów mam logi zapodać? GMER? OTL? A może ComboFix? Proszę o odpowiedź
Z tym się nie zgodzę. OTL posiada zestaw komend znacznie rozszerzających jego funkcjonalność, a nawet w standardowym skanie widzi więcej rzeczy od ComboFix’a. Do tego dodać GMER + SRENG + RegLooks i w bezinwazyjny sposób można stworzyć wyciąg dużo więcej mówiący niż log z ComboFix.
Jak można pozostawiać wybór osobie która nie potrafi samodzielnie posługiwać się danym narzędziem i prosi o pomoc na forum.
Ostatnio ze względów bezpieczeństwa w ComboFix dodano moduł pozwalający na ty by ComboFix ignorował pewne, określone w skrypcie, pliki, które sam usuwa z automatu, co z kolei świadczy o tym, że nie jest to narzędzie nieomylne, ale nieobliczalne.
Z moich obserwac ji na różnych forach jasno wynika, że OTL w porównaniu do ComboFixa wypada bardzo blado. Naprawdę nie widzi wielu rzeczy, które widzi ComboFix.
Np.
nie widzi CONFICKERA w całości, co najwyżej jego plik, bez usługi
nie widzi Rootkita MBR
nie widzi większości plików infekcji “pendrivowej”
itd.
Bez trudu można znalźć w necie takie przykłady, gdy OTL tych rzeczy nie widział, a dopiero ComboFix je pokazywał.
W obydwu przypadkach przy przestawieniu opcji Processes OTL w logu nie wyświetlał nazw usług i sterowników, a plik C:\WINDOWS\system32\svchost.exe nie miał żadnych info o dacie stworzenia i modyfikacji:
Kiedyś Combofix w logu tworzył listę wpisów w kluczu MountPoints2, co znacznie ułatwiało wykrywanie syfu.
Co się teraz stało z tą przydatną informacją ??
OTL-a wyróżnia pewna elastyczność w doborze tego, co ma być produkowane w logach. Można skanować tylko listę uruchomionych procesów, jak i “tylko” wszystkie pliki stworzone od początku.
Niestety OTL nie widzi wszystkich infekcji rootkitowych i ukrytych, więc trzeba używać osobnych narzędzi.
Nie kojarzę za bardzo, która to była komenda, ale jeśli już Combofix coś usunie, lecz system dalej chodzi, to wystarczy użyć DeQuarantine::
Ten konkretny przypadek jest chyba powiązany z tym bugiem, o którym piszę wcześniej.
OTL służy do listowania i usuwania drobnych infekcji i do ComboFix’a się nie umywa (zwłaszcza, że ten może już w całości usunąć rootkita mbr). Ale o to, że skoro sUBs sam zastrzega by nie stosować tego narzędzia (podkreślając przy tym, że nie jest ono bezpieczne, a system może się już nie podnieść) na starcie ale aby dawać logi z np OTL by się zorientować w sytuacji, to znaczy, że coś jest na rzeczy. A kto bardziej zna program jak nie jego twórca.
Obecnie ta gałąź jest automatycznie opróżniana przez ComboFix bez odnotowania tego w logu. Co faktycznie jest trochę nie na rękę.
Ignore , dostępna od kilku dni.
To, że unikam stosowania ComboFix’a wzięło się z tego, że nieraz już powodował problemy. Kilka razy system nie wstawał, pozostawił po sobie niedobitki w postaci kluczy rejestru uruchamiających jego moduły (co znacznie spowalniało system), kasował pliki które z infekcją nie mają nic wspólnego. Do tego sporo userów dostaje odpowiedź typu “log czysty”. Sam nie chciałbym usłyszeć, że ucięto mi nogę, a potem, że to pomyłka lekarska.
Przykład z logu maksio1
Sam u siebie nie zastosowałbym ComboFix’a gdyby sytuacja nie była poważna. Podobnie postępuję z osobami które piszą na forum. To, że na moim komputerze ComboFix działa nie wywołując żadnych środków ubocznych nie oznacza, że na wszystkich komputerach tak jest.
