Evo imaš ovde alat za čišćenje tog virusa pa javi jesi li uspio.

@Filip_

Na osnovu tvoj prepricavanja onoga sto ti se dogadja na racunaru, ne mozemo konkretno da ti pomognemo. Potrebni su npr log-ovi avast-a, ili ti neko drugog antimalware programa (npr Malwarebytes-a). Ili jos bolje kada bi imali log-ove dijagnostickih alata, stvar bi bila mnogo jasnija.


Za sada je potrebno da procitas privatnu poruku koju sam ti poslao.




@dava

Ni sam nisi siguran da li ce taj alat ukloniti doticnu infekciju, a preporucujes ga. Te alatke retko kada mogu da pomognu jer infekcija moze biti jako komplikovana tako da od koriscenja tih "prostih" alata nema nista.

Pa vidi, ako ne pomogne, odmoći sigurno neće i ne kontam zašto misliš da su ove alatke bezvezne. To ti je otprilike isto što i definicija virusa u AV bazi. Taj remover zna šta traži i gdje traži tako da ako su ljudi proučili aktivnost virusa, remover bez problema može da ga ukloni.

Pomoglo! Ocistio ga skroz.

P.S.- Nisam ga skinuo sa onog sajta (problem sa serverom bio) nego sa drugog , ali proverenog takodje.

Hvala puno.

P.S.-Nema razloga za prepirku, a ono sa logom Avast-a i ostalim...ne znam, puno cimanja, mozda previse...u svakom slucaju setih se Cih-a...dolazio uz krekovan Blood 2 igru na Cd-u (Balkansku verziju) neke 2000-te...samo CleanCIH mali programcic od 50Kb ga je tada cistio, a stvarao je grdne porobleme na masinama. Anyway hvala svima na pomoci. Pozz

@dava

Vidi, problem je u tome sto se vecina danasnjih (popularnih) malware-a redovno update-uje (kao npr antivirus) tako da koliko onda treba da se napravi tih tool-ova za npr jednu vrstu infekcije ako je haker-i redovno menjaju (update-uju/izlaze nove verzije)? Ko ti garantuje da si ovim alatom uklonio celokupnu infekciju (infekcija nije samo jedan-dva fajla sa istim/slicnim imenom u system32 folderu)? Ovo je samo nagadjanje.



No da ne nastavljamo bzw diskusiju, problem je (valjda) resen.

Ako pogledaš na onom sajtu sa alatima primjetićeš da postoje alati sa vezijom 12.xxx ;)
Odkad znam za viruse, njihovi autori ih mjenjaju nebi li ostali neuhvatljivi od strane AV programa. S druge strane AV lab-ovi stalno izdaju nove definicije kao bi AV programi mogli prepoznati ove izmjenjene malware. Tako je isto i sa ovim specijalizovanim alatima, ne znam šta te to čudi?



Ko ti garantuje da si sa AV-om uklonio celu infekciju? Ne zaboravi da isti ljudi pišu i jedan i drugi software, tj i AV bazu i remover.

Cudi me to sto ti izgleda mislis da je AV ispred malware-a, a u stvari je obrnuto. Prvo izadje malware pa tek onda definicija za njega (npr koja ce samo da ga detektuje;ne i ukloni).


Niti verujem Antivirusima niti verujem Removal tool-ovima. S'toga nisam preporucio niti jedno niti drugo.



Postoje specijalizovani alati za te stvari kojima mozes ukloniti celokupnu infekciju (ako znas da je pronadjes i uklonis).

Niti to mislim, niti sam to rekao.

Vjerovao ili ne vjerovao AV programima oni su i dalje jedini način da ukloniš mnoge zaraze recimo tipa file infektore. Može da buljiš u logove Hijack-a i dijagnostickih alata koliko hoćeš, ali file infektora nećeš pronaći.
To su virusi u pravom smislu rječi, oni se upisuju u exe fajl, recimo na kraj, a poziv smjeste na početak fajla i na taj način obezbjede svoje izvršavanje. Mogu isto tako da urade dll injection, pa ti gledaš procese, ugledaš explorer.exe, znaš da je to regularan windows-ov proces, a ono u njemu malware u obliku dll-a i radi ono za šta je napisan.



Pa zar nisam čovjeku ponudio jedan takav alat koji mu je pomogao? ;)



Nisi u pravu. Ako pustiš AV program da skenira zaražen disk, kada nadje nešto (ako je iole ozbiljniji AV) on će ga i ukloniti, ako je u pitanju file infektor tad će fajl dezinfikovati.

Grdno gresis.

Cek, mislis da se fajl infektor pojavi niotkuda? Pa i on ima svoj skriveni driver (rootkit) i vrlo lako moze da se otkrije u DDS, GMER , RR logovima. Uklanjanje je moguce, ali niko ne garantuje za posledice nakon dezinfekcije pa se skoro uvek preporucuje dezinfekcija uz pomoc Live CD antivirusa ili pak skeniranje iz safe mode-a (ukoliko je moguce uci) Windows-a. No i posle uspesne dezinfekcije, u zavisnosti od toga koliko je infekcija uzela maha, ostaju posledice po operativni sistem. Najsigurniji nacin je format particije gde je instaliran OS i odmah nakon instalacije OS-a je potrebno izvrsiti skeniranje celokupnog hard diska i dopustiti av-u da dezinfikuje zarazene fajlove.


Hijack This je nesiguran dijagnosticki/fix alat koji vise niko i ne koristi jer od njega nema vajde.



Sa fajl infektorima tipa Sality, Virut itd, antivirusi se ne mogu izboriti. Fajl infektori su kompleksne infekcije jer unistavaju OS (onemogucuju task menager, registry editor, safe mode, itd itd).
Poseti sledecu temu za vise informacija: http://www.elitesecurity.org/t...simptomi-preventiva-uklanjanje

Kaspersky se sa njima itekako izbori. ;)
To što ćeš namirisati tragove virusa (ako ih ovaj nije uklonio) ti ništa ne znači. Zaražen fajl može dezinfikovati samo AV. Čovjek ručno ne može to da uradi za neko razumno vreme.
To što poneki virus uništi OS, to je zbog njegove nesavršenosti ili bagova. Virusu nikako nije u cilju da uništi OS (iako realno to mu je lakše neko da se proširi) nego mu je u cilju širenje i pravljenje što veće zaraze.

Eto na toj stranici koju si mi preporučio da pročitam pod stavkom jedan u preventivnim mjerama preporučuju da se instalira AV program. Šta je sad jesi li se predomislio ili im i dalje ne vjeruješ?

Jok.


Bilo koji antivirus (KIS je tesko njesra;ako mogu tako da se izrazim, jer je postao bloat) se nece izboriti sa Sality-jem a pogotovu sa Virutom. Slobodno probaj-ako smes.

Pre nekih par meseci sam naleteo na racunar zarazen Sality-jem a na racunaru je bio instaliran KAV. KAV je bio unisten, tj.nije mogao ni da pokrene on-demand scan a kamoli da izvrsi neku dezinfekciju.

E sada, postoje razne verzije ovih fajl infektora i razne posledice.



Uglavnom, teorija je jedno, praksa je nesto drugo.



Antivirusi su trenutno nemocni pred novim verzijama fajl infektorima.




Detaljno procitaj link-ove koje su u temi i takodje procitaj privatnu poruku i detaljno pregledaj log-ove ne bi li uocio gde je Sality.

AV je naveden kao prva stavka jer je on u mogucnosti (ukoliko poseduje npr HIPS modul) da ne dozvoli pokretanje malware-a (ako korisnik zna da koristi HIPS). Ukoliko dozvoli pokretanje malware-a, AV je nebitan.

Na ovom forumu već duže vreme pojedinci stvaraju atmosferu nesigurnosti i panike širenjem priča kako su AV programi bespomoćni protiv mnogih virusa.Motivi za ovo nisu baš jasni.LIČNO koristim dva računara sa Eset i Kaspersky zaštitom.U njihovim logovima postoje i Sality i Virut.Otkriveni u startu i izbrisani bez ikakvih komplikacija.Reći kako je alat koji dolazi iz Kaspersky laba neupotrebljiv je krajnje neozbiljno i pokazuje elementarno nepoznavanje tematike i načina na koji se stvaraju, iz minuta u minut, update-i AV programa.

Opste poznato je da bolje da imas instaliran AV na racunaru nego da ga nemas.
Ljude je potrebno upozoriti koliko je ozbiljno imati malware na racunaru i koliko je malware rasprostranjen, takodje i kakve sve vrste malware-a postoje.

To sto vecina misli da je dovoljno instalirati KIS i time si miran sto se tice malware-a je smesno i govori o tome koliko su ljudi upuceni u tematiku o malware-u.


To sto je NOD detektovao i odmah u startu otklonio infekciju pre nego sto se ona rasirila sam vec objasnio u mom prethodnom post-u.


Slobodno posetite forume koji se bave uklanjanjem malware-a i zacudicete se kada vidite da vas omiljeni AV "u akciji".

Tačno tako, izbjegavao sam da mu kažem da mu je znanje površno, ali sad je stvarno prevršio.



Ove dve rečenice odlično oslikavaju tvoje ne znanje.
- Ni jedan Av te pod prvo neće zaštititi ako ti je OS šupalj, tj ne update-ovan. Jer virusi iskorištavaju rupe u OS-u da bi nesmetano prolazili pored AV programa.
- Možda AV baza nije bila ažurirana.
- Mnogi korisnici se prave pametni pa privremeno isključe AV da bi nešto uradili, mogao je i to biti slučaj.

Ako znamo da prvo izadje virus pa tek onda zaštita, malo je glupo AV -u dati samo jednu šansu i na osnovu toga suditi o njemu. I najbolji AV (nećemo ulaziti u priču koji je) je nesposoban pred novim virusom, ali njegov nivo kvaliteta leži u lab-u odnosno u ljudima koji pišu definicije za AV software i mogućnosti da što pre opis tog virusa ubace u AV definicije.
Da ne spominjemo Real-time zaštitu AV programa, koja svaki fajl pravovremeno preskenira. Mogao ti gorane poznavati viruse koliko hoćeš, ali nikada nećeš biti bolji u tome ni od najlošijeg AV-a.

Samo da znaš, prošle sedmice sam skenirao disk od prijatelja i na njemu je bio i Sality i Virut, zajedno su zarazili malo ispod 3700 fajlova. Nakon dezinfekcije od strane KIS-a, windows je ponovo radio, pokrenuo sam i jedan fajl kalkulator.exe koji sam još davno pisao vjezbajući VB i dao prijatelju, nakon dezinfekcije je kalkulator radio, a u njemu je bio upravo sality.

Pa sta ako je Kaspersky? Kaspersky je bio dobar dok nije izasla nova vrsta malware-a. Hocete da kazete da ce pomoci i u otklanjanju Whistler Bootkit?! Mislim, vi zivite u vremenu pre 2-3-4 godine kada je Kaspersky bio lider ali i kada nije postojao ovakav malware.

Pola tih Removable tool-ova nece raditi. Tj.nece ukloniti infekciju za koju su namenjeni. Slobodno proverite.

Ok, momci.

Drago mi je da smo prodiskutovali o tome.


Ovo je jos jedna tema odakle se moze zakljuciti informisanost ljudi o malware-u i antivirusima.



Pogledajte malo blog-ove kasperskog, avasta, i ostalih antivirusnih kompanija. Tamo ce vam biti mnogo toga objasnjeno i vrlo brzo cete promeniti misljenje.


KIS ima samo dobar marketing, nista vise. To sto niste znali da ga stavite na muke, to je vec druga stvar.

<sub>[Ovu poruku je menjao goran9888 dana 29.09.2010. u 13:00 GMT+1]

[Ovu poruku je menjao goran9888 dana 29.09.2010. u 13:01 GMT+1]</sub>

Ne znam da ti je baš drago, al' eto. ;)
Prvo zbog svoje sujete, ulaziš u bespotrebnu raspravu, napadajući mene što sam čovjeku ponudio rješenje koje je na kraju pomoglo. Onda pokušavaš da me diskvalifikuješ izvrčući moje izjave, kad ti napišem činjenice ti ih ignorišeš, a završnica ti je ovaj poslednji post koji je čisto mlaćenje slame.

Kako si zaključio kolika je "informisanost ljudi o malware-u i antivirusima"? (konkretan primjer)

Koje tačno blogove da pogledam?

Reći da KIS ima samo dobar marketing (i predhodno reći da je njesra) je ili tvoj teški amaterizam ili namjerno blaćenje istog.

Samo da vidiš iz kakve šolje trenutno pijem čaj ;)

Al ste se izrazgovarali :) celo vas jutro gledam i pitam se dokle cete :)

Ma morali smo rasčistiti neke stvari. :)

Ma bitno da smo se izdopisivali i razmenili misljenja.

Jesam, amater sam u svemu ovome, stvari shvatam povrsno i pojma nemam o cemu ovde govorimo.
To sto se ti kunes u Kaspera i Eset-a, to je vec druga stvar. Sa takvim ljudima nema rasprave, nisi ni prvi ni jedini.
Ti si ipak profesionalni helper.

Dijagnosticki programi su izmisljeni da bi ljudi kao ja mlatili slamu a antivirusi su svemoguci. Da, da...

Slobodno nekada mozete da posetite strane forume, posetite blog-ove antivursa i pratiti desavanja u malware svetu. Ne treba suditi na osnovu jedne detekcije i na osnovu jednog antivirusa.





_{[Ovu poruku je menjao goran9888 dana 29.09.2010. u 16:57 GMT+1]}

Aj da malo dolijem ulje na vatru.

Juce ja otvorim arhivu virusi.rar (oko 600 starih virusa u arhivi) koju sam pre par godina skinuo sa jednog domaceg sajta i kasper 2011 dozvoli da sve lepo otvorim i raspakujem u folder (virusi su preimenovani tako sto im je ekstenzija promenjena u .exf) i tek nakon toga je pola sata me obavestavao o svakom pojedinacno i sta mu je uradio... za to vreme sam ja u folder u kom su bili raspakovani mogao da normalno pristupim, a ovamo mi blokira neke programe i net adrese taj isti kasper..

Nije ovo ulje već čist kerozin za ultra turbo mlaznjake.

Pitaj Eugena... možda mu Natalya nije dugo dala pa je malo nervozan. :)

ocu ocu :)

@Goran Mijailovic

To vec nisi trebao da napises. Ovi koji se kunu u Kaspersky ima da polude.

Posto sam stigao kuci (ono sve sam pisao sa posla na brzinu) mogu malo duze post-ove da pisem. Nadam se da necete da se smorite.



@dava


Tacno. I sa update-ovanim Windows-om postoje rupe. Uvek ce izlaziti zakrpe jer su ... sta? ... jer je malware UVEK ispred AV-a.



Zasto bi mu davali drugu sansu ako nam je racunar zarazen, tj.ako je u prvoj sansi pao?! Inace, ti izgleda mislis da se te definicije prave kao npr "Hello World" program u C jeziku?
Ajmo jedan primer: npr izasla nova verzija Sality-ja: http://www.securelist.com/en/b...new_version_of_Sality_at_large

I sada, Kaspersky napravi definiciju za otkrivanje te verzije Sality-ja, ali...Koliko jos vrsta Sality-ja ostaje? Mislis da ce sve verzije Sality-ja Kaspersky detektovati i ukloniti bez problema (Sality se ne kopira na jedno mesto, niti generise uvek isto ime svojim dll-ovima i driver-ima; ovo jedino mozes videti iz logova dijagnostickih alata ili uz pomoc HIPS-a nekog FW-a). Ako mu promakne detekcija, ko sto se u text-u kaze antivirus ce biti onemogucen i time je borba antivirusa i Sality-ja zavrsena. Zna se ko je pobednik.



Ma daj...Pa svaki antivirus ima real-time zastitu, al sa kakvim mogucnostima, sa kakvom heuristikom?! Dzaba mu real-time zastita ako on nema definiciju za neki malware.





Opstepoznato je sta Sality radi. Ako je bio u sistemu, ovo sto si napisao ne pije vodu. Safe mode je onemogucen, takodje i task menager, regedit; zarazen je i system restore itd itd. System nije u onom stanju u kojem je bio pre nego je bio zarazen. Il je to neka verzija Sality-ja za koju ja nisam cuo.

Ne znam kakvu si mi cinjenicu napisao. Tj. citajuci tvoje post-ove nisam video niti jednu cinjenicu. Ajde okaci mi log-ove KAV-a sa tog racunara da vidimo sta je dezinfikovao? E to je cinjenica, i mi cemo ti poverovati.




Odes na www.google.com , onda ukucas ime antivirusa ciji blog zelis da pogledas i dodas nastavak blog stim da izmedju naziva antivirusa i blog-a lupis space. Npr. avast blog, kaspersky blog, itd itd




Hoces reci da nema. Na svakom koraku samo Kaspersky se reklamira. Videli da im to donosi profit, pa im bolje da uloze u reklamu nego da se je*avaju oko proizvoda.
Goran rece da je probao KIS2011. I ja sam. Bolje da nisam.
To je jedan glupi proizvod da je to nesto neverovatno. Na slabim masinama ne mogu da zamislim kako radi (postao je bloat;pun je raznoraznih-nebitnih gluposti), usporava i blokira surfovanje internetom, prepun je smesnih FP-ovao (jednom mi cak detekovao explorer.exe kao malware a nakon restarta sve ok) koji se resavaju ili restartom operativnog sistema ili update-om, ne dopusta pokretanje legitimnih programa i ako ih stavis u trusted application, itd itd.
Ako bi procesljao malo net, video bi koliko je bag-ovata ova zadnja verzija ovog antivirusa i pokrio bi se i vise ga ne bi ni spominjao.

Takodje sam imao problema i prilikom uninstall-a Kis-a, jer i nakon uspesnog uklanjanja, on ostavlja svoje tragove u registry-ju i neke svoje driver-e u racunaru, tako da problemi tek tada nastaju: nemogucnost instaliranja drugog antivirusa, nemogucnost instaliranja nekih programa jer nije maknuo sa sistema sve svoje driver-a itd itd.

Evo log. :)

Nije te valjda isprovocirala moja šolja za čaj.

Haha...

Najverovatnije si prikljucio zarazeni hard disk i izvrsio scan KAV-om sa nezarazenog OS-a.

Mi u nasim prethodnim post-ovima nismo o tome govorili. Ovo nije borba Sality-ja sa KIS-om na aktivnom Windows-u, jer je ovde Sality izolovan (nalazi se na drugom hard disku koji je vec zarazen).

Da ovde je Sality ciscen sa drugog racunara.



@dava

Ovde je deo loga dijagnostickog softvera gde se odlicno vidi da je racunar zarazen Sality-em. Ako znas sta da trazis, nacices ga za 10 sec.
Vidi se aktivna infekcija na nekoliko mesta.

Ne postoji bolji i sigurniji nacin analize i ciscenja od dijagnostickog alata i kad helper umesa svoje prste i krene alalizu loga.
pa jos ako zna da ih ukloni najbrzom i najsigurnijom metodom...a helperi znaju...

Ljudi iz AntiVirus labolatorije su toga svesni. Da kako...znaju da AV program mnogo toga ne moze da uradi...trude se naravno...ali autori malware-a
em sto su uvek ispred huntera ...em dnevno izadje oko 1000 novih primeraka malware-a. Ko toliko broj da pohvata...
MalwareHunter-i tek dobiju primerak kad infekcija zarazi veliki broj racunara. To tad...vec je spremna nova verzija...itd

Kao sto gore rekoh...ljudi iz AV laba su toga svesni...pa i sami prave dijagnosticke alate...

Potreban dokaz? Ko je napravio (kupio HJT ? ) evo pogledajte npr...ESET ...
napravio je jedan dijagnosticki alat zvan ESETSysInspektor...
http://www.eset.com/download/sysinspector

..ima toga jos...samo me mrzi da googlam...

Ljudi...mislim da se podgreva atmosfera ovde...ne vidim razlog...mada i odakle vam snage i vremena da toliko pisete oko rasprava, ako vec radite negde...ja studiram pa nemam toliko vremena oko rasprava koje ne vode nikuda...jedan ide u levo, drugi u desno i kraj :)) Ja sam suzdrzan...ima istine i u jednom i u drugom...ali uzivo kad se ljudi sretnu zna se ko koliko zna, a ko ne zna...ovako nista ne mora da znaci...zivi razgovor uz pivo resava rasprave jako brzo:)...tu nema pomoci prijatelja :) pozz svima

E baš će ti da nam zabraniš da se svađamo.Držte ga.

Opusteno ...
samo razmenjujemo znanje i misljenja. Niko se ni sa kim ne svadja. Da je suprotno....ES Tim bi vec reagovao.

da ga muchimo .. ionako ce kuka moderatorima da smo ga muchili ..

Nije najverovatnije nego je tako, a to sam i napisao u postu na predhodnoj strani.
Bila je priča da li ga kav ima u definicijama i da li ga može dezinfikovati ili ne. To što je skeniran kao eksterni disk u principu ne mjenja bitno stvar. Slažem se da nije isto kao kad zarazi aktivni sistem, ali ako ga AV ima u definicijama, virus će teško napraviti zarazu jer AV prvo skenira svaki fajl prije njegovog izvršenja i u slučaju infekcije blokira dalje izvršavanje fajla. Postoje naravno izuzeci i tehnike kojima se autori virusa služe da bi izbjegli blokiranje od strane AV-a, ali to sada nije tema.
U stvari šta je uopšte tema?
Diskusija se malo više rasplinula, pričali smo o svemu, ali ničemu konkretnom.
Ja samo hoću da kažem da je AV itekako potreban. Možemo mi koliko hoćemo podešavati windows da radi pod ograničenim privilegijama i na razne načine otežavati virusu da inficira sistem. Možemo svakodnevno izvlačiti logove iz sistema i analizirati ih u potrazi za malware-om, ali sve to oduzima mnogo vremena i zahtjeva svakodnevno update-ovanje znanja o novim opasnostima, tako da je možda jednostavnije instalirati dobar AV i prepustiti njemu da se brine oko toga. Isto tako je lakše u slučaju zaraze, još ako se zna koji malwer leži u sistemu, kao u slučaju pokretača ove teme, pustiti specijalizovan alat da odradi svoje. Ti alati su i napravljeni da pronadju i unište samo taj virus. Oni tačno znaju potpis tog virusa i to je najbolje rješenje.

Nije ovdje bitno ko koliko zna, nego je bitno da se drugi ne dezinformišu kako je AV glupost i nepotrebna stvar.



Da, ali ne postoji brži i jednostavniji način od puštanja kvalitetnog AV-a da odradi posao. U stvari AV je jedino rješenje u slučaju upravo virusa.

P.S. ne zalažem se ja gorane za kaspera, samo sam primjetio da se upališ ko hepo, pa sam morao uslikati šolju koju slučajno imam. ;)

To je drasticna razlika, kao nebo i zemlja Nijedan antivirus ne moze da ocisti virus iz aktivnog Windowsa. Ovakvo ciscenje koje si ti odradio ce da odradi svaki antivirus.
Poenta je u tome da li je isplativo skenirati 2 sata HDD i na kraju se ispostavi da je sistem toliko ostecen da mora da se radi instalacija windowsa (u 80% slucajeva).

Nadam se da ti je ovo lapsus.



Najmanje je bitan sistem. Na c disku korisnik je imao potrebne podatke koje je trebalo sačuvati, isto tako pošto nije imao drivere, lakše mi ih je bilo izvući iz sistema pomoću WinDriversBackup prg. nego skidati sa neta. Zbog toga sam skenirao.
Baš me zanima za koliko bi to odradio neki dobar helper bajajući nad logovima i izgovarajući mantre. :)

_{[Ovu poruku je menjao dava dana 30.09.2010. u 10:59 GMT+1]}

Hm, a zamisli situaciju gde imas nekih 8TB prostora na racunaru (serveru), i stvari krenu naopako. Ovo je produkcioni server (koji se koristi u svakodnevnom radu 24/7), i reinstalacija (ali svega, jel tako) bi trajala nekih 8-10 sati minimum, ukljucujuci i podesavanja... Nekad se ipak vise isplati skeniranje, ma koliko trajalo. Kada se radi o licnim racunarima, doneti odluku o reinstalaciji je mnogo lakse.

Nije lapsus, bas me zanima kako ces da ocistis fajl infektor iz aktivnog windowsa.



Isplati se, samo je pitanje sta posle skeniranja. Ne kazem, desava se da se podigne sistem posle ovakvih infekcija, ali veoma retko, sve zavisi koliko je uzelo maha i kad je infekcija primecena.

Pa pustim AV da preskenira i očisti. Procesi AV programa rade u višim prioritetima od ostalih i ako se desi da je zaražen neki sistemski proces koji ne dozvoljava privremeno zaustavljanje, kao winlogon, svchost, lsass itd tada AV program zahtjeva restart, kako bi ih "uhvatio na spavanju".
A kako ćete vi koji nevjerujete AV-ovima to odraditi?

Evo flighter_022 vam je naveo jedan scenario, postoje još gomila scenarija gdje jednostavno nije bilo moguće rušiti sistem pa se moralo čistiti, pa repaire, pa štimanje i testiranje. Nisu svi gejmeri i surferi.

Uhh bre dava, pa ne moze to tako.
Da razjasnimo nesto, niko ovde nije napisao da ne veruje AV programima, nesto si ti utripovao. Jedino AV moze da ocisti viruse.
Rasprava se vodi oko nacina ciscenja. Ako je virus zarazio OS, prvo sta je uradio to je da je onesposobio AV koji je instaliran na sistemu. Svaki pokusaj instalacije novog AV-a na zarazenom sistemu ce biti neuspesan. Postoje nacini kako da se ocisti, Live CD, skeniranje HDD-a na drugom racunaru, skeniranje iz save mode alatima kao sto je CureIt itd... Sve su to opcije ciscenja ali ne iz aktivnog windowsa, jer tako nije moguce uraditi nista. O tome ti ja pricam.
Sve ove opcije koje sam naveo nisu garancija da ces uspeti da dignes sistem posle ciscenja, zavisi koje je fajlove virus ostetio, jer nije moguce dezinfikovati sve fajlove zarazene Sality ili Virutom naprimer.

Kad bi ti rekao koliko sam racunara do sada ocistio (Sality...) zavrtelo bi ti se u glavi

edit:

Ova opcija koju si ti koristio je mogla da bude kobna po taj racunar sa kog si izvrsio ciscenje, vodi racuna o tome sledeci put ako budes cistio Sality.

Sality postoji vec par godina, tako da svi antivirusi imaju definicije za njega.




Procitaj npr Goranov post.
Znas li ti sta je rootkit? Koja mu je funkcija?




E vidis, ti pojma nemas o novim opasnostima koji vrebaju net-om. Inace, analiziranje log-ova je jedan zanimljiv posao;uvek saznas nesto vise.




To vecina radi, tako da je vecina racunara i zarazena (instaliraju antivirus i bole ih brige; on ce sve da resi). Savesnom korisniku interneta i ne treba antivirus. Npr, meni je dovoljan samo neki fw sa dobrim hips modulom i to je to.



Previse im ti verujes. Te tool-ove prvo probaj, pa onda pricaj o njihovoj delotvornosti.



AV nije glupost i potrebna je stvar. Ali niti jedan AV nije savrsen. Jedan je bolji u detekciji, drugi u dezinfekciji fajlova, treci u brzini skeniranja, itd itd.. Svaki AV ima svoje prednosti i mane. One AV testove nemoj ni da mi spominjes ako si planirao, jer je to nevidjena glupost.



Pogledaj slucajeve koje sam ti link-ovao u privatnoj poruci za koliko su reseni, na koji nacin i koliko je pacijent srecan nakon uspesno zavrsenog slucaja.



Da, mi ovde govorimo o nemogucnosti antivurusa da se izbori sa fajl infektorom u aktivnom Windows-u.




Oces da kazes da je malware glup?!
Opet zaboravljas tj. nisi dobro informisan. Malware je ispred antivursa, uvek.

Vrlo lako probijaju (malware) self defense modul antivirusa u danasnje vreme.

Kako niko nije rekao.
To je njegov moto. A upravo on, kao iskusniji korisnik, tako nešto pišući može dovesti do pometnje u shvatanje zaštite kod običnih korisnika.



Taj računar je već bio doživio kobnu sudbinu, windows mu i onako nije radio, butanje se završavalo nakon podizanja ploče. Tako da ga je ova akcija čišćenja oslobodila napasti i omogućila podizanje windows-a što sam iskoristio da izvučem driver-e iz sistema, a i zbog spašavanja podataka sa c diska. Kakva je svrha da sam spašavao zaražene fajlove.



Možda ljudi samo ne žele da provode sate na održavanju windows-a čistim, pa im je lakše instalirati AV da ih štiti. Nekim ljudima je vreme stvarno novac, pa kad bi izračunali sav godišnji trud na ručno održavanje i ganjanje virusa po logovima, došli bi do računice da je itekako isplatnije kupiti i najskuplji AV.
E vidiš, meni je dovoljan samo prekidač na naponskom kablu, isključim ga i hajde neka mi onda nešto zarazi komp. Ali kakvog bi onda posla ja napravio sa ugašenim kompom i kako bi zaradio za lebac. ;)

I ljudi, nisam jednom doživio da AV očisti virus iz aktivnog sistema, ne znam o čemu vi to pričate?

_{[Ovu poruku je menjao dava dana 30.09.2010. u 14:14 GMT+1]}

Pa to je jedna od funkcija antivirusa. Ne znam sta se time hvalis, to je normalna stvar. Bitno je koji virus, koji crv, koji rootkit?!

Pohvali se da je ocistio Virut, Sality, Whistler Bootkit ... :D :D


Potrazi na net-u informacije o polymorphic virus-ima.

Ovo si napisao u predhodnom postu. A onda na moju rečenicu: nisam jednom doživio da AV očisti virus iz aktivnog sistema, ne znam o čemu vi to pričate?
kažeš:


Ovako više nema svrhe. Možemo nastaviti diskusiju kad se dogovoriš sam sa sobom. :)

Pa naravno da me ne razumes kada pojma nemas o cemu govorim. Izvini, ali ja da crtam ... ne znam!

Ma daj čovječe, počela ti je padati koncentracija, kakva je ovo rasprava?
Mislim da sam ja više zaboravio o ovome nego što si ti ikada naučio.
;)

Počeli smo da se vređamo, a?

Korišćenje specijalizovanih removal tool-ova... Zašto se uopšte prave?
Klasičan antivirus funkcioniše na prilično jednostavnom principu: detektuj kreiranje file-a/procesa, odredi signature i pogledaj postoji li isti u bazi - ako postoji, pokušaj da dezinfikuješ file ili da ga obrišeš.

Za neaktivan malware ovo fino funkcioniše, ali za aktivan i za malo kompleksnije, dinamičnije i tehnološki naprednije infekcije, prilično slabo. Prosto, ako problem ne može da se reši čistom silom ili (un)patchovanjem file-a, AV ne može ni da ga reši jer je "glup" za nešto takvo. U tom slučaju, neke AV kompanije izdaju specijalizovane cleanere. Isti se, generalno gledano, daleko bolje snalaze sa datom infekcijom.

Drawback? Pa, za ažuriranje AV-a (tj. baze), potrebno je samo nabaviti primerak file-a i kreirati signature što je mnogo jednostavnije od ažuriranja nekog cleanera - tu treba izvršiti analizu ponašanja malware-a (jer njega sigurno čeka aktivna infekcija), kreirati potpise i izmeniti kod samog programa. Ovo, ako uopšte može da se uradi, traje.




Svi popularni file infektori su blended threats pa je time moguće videti da su prisutni. Takođe, moguće je videti i injekcije koda u logovima, a za sistemske file-ove je moguće izvršiti verifikaciju digitalnih potpisa. Naravno, za dezinfekciju klasičnih file infektora je potreban antivirus (ako je u pitanju malware koji patchuje ograničen broj sistemskih file-ova, to se onda može i drugačije, ne mora AV).





Malware ...... broj AV-ova koji imaju signature ....... broj AV-ova koji mogu da uklone aktivnu infekciju:

Rustock (npr. B pa na gore) ..... 50 + ..... 5, 6?
Neprodoor ............................ 50 + ..... 2, 3?
Mebroot ............................... 50 + ..... 2, 3?
Virut .................................... 50 + ..... 0
Sality ................................... 50 + ..... 0
TDL ...................................... 50 + ...... 0
Whistler based RKs ................ 20 + ...... 0

Da nastavim? Pomenute rootkitove većina AV-ova ne može ni da detektuje, a virusi onemogućavaju rad svih AV-ova za koje se pretpostavlja da bi bili sposobni da iz dezinfikuju (neki budu obrisani, neki budu injektovani i time totalno zaslepljeni).




A što su onda napravili cleanere za Virut i Sality (koji, inače, pokrivaju svega desetinu poznatih varijanti)?




Ne mnogih, već pojedinih primeraka malware-a. To je činjenica. Naravno, ja pričam o uklanjanju aktivnog malware-a.




Kao što je objašnjeno, to može biti aktivno detektovano, ne i dezinfikovano kad je aktivno. Oba pomenuta će da pretvore i Eset i KAV (kao i većinu ostalih) u froncle (Sality ih "lepše" ukloni no Eset/KAV removal tools ).




Višim prioritetima? Skeneri rade pod SYSTEM accountom (što, je l', ne pomaže puno ako se malware pokrenuo dovoljno rano, a "rano" može biti i pre Windowsa).


Anyway, ono što krenuh sinoć da napišem (nisam stigao, a vi se u međuvremenu raspisali)...

Još nisam video da je klasičan AV uspeo da pravilno dezinfikuje aktivan Virut ili Sality virus. S jedne strane, u pitanju su veoma kompleksne infekcije. S druge strane, autori istih su poslednjih godina gotovo isključivo radili na razvoju non-virus komponenti malware-a, pri tome koristeći istu onu bugičnu patching rutinu od pre par godina.
Upravo zbog tih bugova u Virutu i Salityju je diskutabilno koliko se i offline skeniranjem može srediti situacija. Prosto, oba ova virusa imaju tendenciju da prilikom višestrukih inficiranja nepovratno oštete file-ove.

Ajde ne razumem se mnogo u tematiku, ali na zarazeni kompjuter kome je bila potpuno iskljucena zastita instalirao sam pocetkom godine KIS 2010 koji mu je nasao preko 10 000 virusa i sve ih je pobrisao. Nakon toga i dalje nisu radili task manager, language bar, registry editor, mislim ni msconfig nije mogao da se startuje pa je kliknuto na nesto za popravljanje stete od malware-a u KIS-u i sistem se vratio u normalan rad.

Auu bre al se ti raspisao ovde.Imamo već jednog koji voli tako da citira delove tuđih poruka i da ih komentariše pa onda izgleda kako je mnogo pametan.

@furia

Koje je tvoje konkretno pitanje?




Jok.
To je jedna/dve/tri infekcije koje su se rasirile. Da si imao toliko aktivnih virusa (razlicitih vrsta) racunar ti ne bi ni radio.



To su posledice nakon uklanjanja malware-a. Malware je to onemogucio ne bi li se (koliko-toliko) zastitio.
Potrebno je sve to ponovo ukljuciti u Windows-u nakon ciscenja malware-a.

@mocnisima

Covek koji je gore napisao post je primer mnogim helperima...i zato ..ako je covek odvojio malo svog vremena da podeli sa vama/nama svoje znanje...
onda ako nista drugo,verujem da zasluzuje postovanje. Isto vazi i za ostale. Ima ljudi koja ova tematika interesuje.Ako tebe ne interesuje,zaobidji je. ;)

Ajd da cujemo tebe? Nesto je pogresno napisao? Neka informacija te buni, ne razumem?

Ili se javljas cisto da bi znali da si tu! :P

Ne kazem ja da su to sve bili razliciti virusi(mozda 50 maksimum),ni da je to bio moj komp, a inace nista nisam pitao vec sam konstatovao posto je ovde receno valjda da antivirus ne moze da ocisti vec zarazeni kompjuter sto je u ovom slucaju uradjeno i na kraju je i ove posledice koje sam naveo otklonio.

A što se vas dva nađošte prozvanima.Mislio sam na čoveka kome se moderatori ovog sajta obraćaju sa "ti koji uporno reklamiraš konkurentski forum"

Pogledaj koliko taj covek koga prozivas ima poruka na ovom forumu.

Inace, ovaj koga ti spominjes u ovom postu sam JA. Mislim da sam to resio sa mod-ovima i ne vidim koji je problem u tome?!




Ma kakvih 50. To je ko sto rekoh jedna/dve eventualno tri infekcije.



Ne.
Ovde je receno da fajl infektore tipa Sality, Virut, itd nemoguce je otkloniti iz aktivnog Windows-a. Nemojte to da mesate.

Da je upao malware novijeg doba, verovatno bi posledice bile drugacije.

Dobra odbrana operativnog sistema ti se kao u vojsci zasniva na vise rodova. Rodovi su ovde, antivirus, firewall, antispyware, antimalware, HIPS itd. Malware je mozda najopasniji jer nekad deluje kao "nosac aviona" za viruse. Da mogu svi virusi da se ociste iz aktivnog Windowsa, ne bi se u antivirusne programe ugradjivala opcija boot clean. Ili zasto su skoro svi vodeci antivirus proizvodjaci napravili live cd verzije svojih proizvoda. Ili specijalizovane alate za pojedine infekcije. Sada su zaraze toliko kompleksne da jedan modul zastite ne moze da izadje na kraj sa njom. Trazi se saradnja.

Eto, higuy je to najplasticnije objasnio (da ne kazem nacrtao). Odlicna primedba.

Sjajan početak na forumu.Bravo.

Svi se slažemo da su virusi danas toliko kompleksni da su praktično nestale granice između tipova virusi, trojanci, crvi, a tako isto i podjele po načina kamuflaže. Uglavnom sav ozbiljniji malware koristi kombinaciju raznih tehnika. Nekada ovakav kompleksan malware nije mogao opstati zbog malih brzina internet konekcija, pa je tada malware radi širenja morao biti malen i samim tim skromnih funkcionalnosti.
S druge strane nije virusu ni tako lako da se ubaci i zarazi sistem. Pa da je malware toliko superioran nad AV-om kako vi tvrdite, pa danas bi svaki računar bio zaražen, internet bi bio srušen i na kraju ne bi ni diskutovali o svemu ovome. U stvari Linux bi preovladavao, što na kraju i ne bi bilo tako loše.

@dr_Bora dobro došao, pre nego što te počnem citirati :)


Da, ali je predhodno morao zaraziti taj sistem, morao je obezbjediti startup rutinu. ;)


Ma na kraju krajeva apsolutno sve se može uraditi ručno samo je pitanje koliko ti vremena treba. Isti taj posao koji bi radio tada, već rade timovi ljudi u AV lab-ovima, ljudi koji su itekako plaćeni za to, i koji ti kroz ažuriranje baze nude rješenje za nove infekcije. Naravno da prvo izadje virus pa tek onda definicija, ali kvalitet AV-a se dobrim djelom ogleda u brzini odgovora na novu pretnju. Evo recimo Kaspersky nudi nove definicije i desetak puta na dan.
Priznali neki ili ne, AV je bitna linija odbrane i nezaobilazna stvar osim ako ne želite da provodite sate održavajući vaš windows čistim.

P.S. ima li neko Sality ili Virut u arhivi, da mi pošalje.

@dava



Ni danas malware ne mora biti veliki. Dovoljno je ubaciti trojan downloader koji ce skinuti ostale potrebne komponente-fajlove malware-a.



Da nije superiorniji, sta mislis da li bi bilo moguce praviti bot mreze sa hiljadama zombi-racunara. Mislim da gresis u izjednacavanju antivirusa sa kompletnim sistemima za zastitu (sa modulima koje sam nabrojao u prethodnom postu).



Slazem se da je bitan, ali jedna lasta ne cini prolece, i on kao samostalni modul je nemocan. Treba mu drustvo ostalih modula za zastitu.

Virusu nije potreban nikakav startup. On se ugradi u legitiman program i pokrece se kada korisnik pokrene taj program.

Pozdrav veselom drustvu :)

Nemam bas obicaj da se oglasavam u temama koje su pune prepucavanja... ali ovde nisam mogao da se suzdrzim :)

Ja sam se godinama mlatio sa malwareom, pa smatram da sam , khm, kompetentan da kazem po koju rec.

@dava
Tvoj je stav (ako sam dobro shvatio) da su AV programi dovoljno dobri u pruzanju zastite.
Da bi ukinuli filozofsku notu u diskusiji, podrazumevacemo da si pri tome mislio na komplet AV/FW/itd modula.

KAV/KIS, u kojeg se ti kunes, tek sad dodaje u definicije malware kojeg sam ja skupio na netu pre 4-5 godina, a kojeg je recimo BitDefender ubacio u definicije 6 meseci nakon sto sam ja taj malware ulovio.
Ja sam ugasio svoje honeypotove pre nekih godinu i po dana, tj. od tada vise ne skupljam malware.



Uploaded with ImageShack.us

Sa leve strane je folder SCAN u kojem je malware kojeg KAV jos uvek ne prepoznaje (26GB). Primerci su detektovani od strane BitDefendera i/ili DrWeba. Prosle nedelje sam folder proskenirao KAV-om i odavde vec izdvojio ono sto KAV sada prepoznaje.

Sa desne strane su folderi:
_incoming_1 - malware ciji su fajlovi osteceni ili nefunkcionalni, ali ih KAV tretira kao malware (neuspesan download itd.)
_incoming_2 - malware koji je funkcionalan, KAV ga prepoznaje, folder sadrzi redundantne fajlove (recimo instalacija programa koja sadrzi i adware, gde recimo 1mb spada na legitiman program, a 100kb na malware)
_moja_kolekcija_incoming - fajlovi u procesu verifikacije i odvajanja redundantnih fajlova
_scan - malware kojeg je KAV prepoznao (sadrzi manje od 2% redundantnih fajlova koje nisam uspeo da odvojim)
_virusi - arhiva

I sve ovo je vec vise od godinu-dve dana matoro...


Elem, i ja se kunem u KAV kada je izbor AV programa u pitanju, a to se da videti i iz prilozenog. Napravio sam ceo set programa koji automatizuju proces skeniranja fajlova uz pomoc KAV-a, izdvajaju malware, raspakuju instalere da bi izvukli malware iz gomile redundantnih fajlova, brisu duplike fajlove itd. itd.

Jednog dana sam skontao da vise ne vredi da jurim bonetove i da saljem uzorke AV kompanijama. AV laboratorije jednostavno nemaju ljudstva da izanaliziraju sve ono sto im pristigne.
Na kucnom honeypotu sam hvatao i po 10 novih primeraka botova dnevno. Sa honeypota kojeg sam imao instaliranog u HongKongu kod jednog njihovog provajdera, stizalo mi je mesecno i po 2000 novih primeraka.
Pride ovo dva, imao sam jos dva honeypota u Austriji (gde zivim) na dva fakulteta.
Kao clan mwcollect alijanse, gledao sam rezultate koji su svaki dan pristizali iz svih krajeva sveta - imalo je dana kada je pristizalo i preko 1000 razlicitih primeraka botova dnevno.
Porazavajuce... covek izgubi ceo dan samo citajuci izvestaje i logove.


Nadam se da je sada malo jasnije zasto je rucno ciscenje (na forumima) nezamenljivo u dobrom delu slucajeva.

Zakasnio si bobby100, ispucali se.Četiri strane.