Руткит привилегированного режима
На других 3 компьютерах в моем семействе я полагаю, что у нас есть руткит привилегированного режима для окон.
Кажется, что тот же руткит находится на всех них. Мы думаем.
Мы изменили все важные пароли от моего компьютера, под управлением Linux прямо сейчас.
На всех зараженных компьютерах Защита Конечной точки Symantic, потому что это лишено университета где моя работа родителей. По-моему, symantec является куском дерьма, видя, поскольку он не сделал даже менеджера для удаления cookie отслеживания, которые он нашел, когда я попробовал его на своем собственном компьютере.
Компьютеры и их установки:
Компьютер A: Vista Business; антивирус symantec. выполнения это как администратор, никакой пароль. IE8. никакое другое защитное программное обеспечение кроме того, что идет с окнами. Настройки безопасности IE8 значение по умолчанию
Компьютер B: XP Домой Premium; антивирус symantec. выполнения как обычный пользователь, никакой пароль, администраторская учетная запись со слабым паролем, spybot, используют IE8 с настройками по умолчанию, иногда Firefox
Компьютер C: XP Домой Premium; антивирус symantec. выполнения как обычный пользователь, никакой пароль, администраторская учетная запись со слабым паролем, используют IE8 с настройками по умолчанию, никакими другими программами обеспечения безопасности кроме того, что шло с окнами
Это - то, что происходит. Вырезанный и вставленный из сообщения форума моего папы.
--
Когда я просканировал свой ноутбук (Dell XPS M1330 с Малым бизнесом Windows Vista), Защита Конечной точки Symantec зависает некоторое время, возможно, приблизительно 10 секунд, на некоторых следующих файлах 9129837.exe, hide_evr2.sys, VirusRemoval.vbs, NewVirusRemoval.vbs, dll.dll, alsmt.ext, и _epnt.sys. Это делает это, если выполнение сканирование, которое я настроил для работы нового диска миниатюры и он делает это, даже если миниатюра не включается. Это, кажется, не делает это, если я сканирую только C: диск. У меня есть проверка на проблемы с защитой конечной точки symantec и также с Основами Защиты Microsoft и Антивирусом Malwarebytes. Они ничего не нашли, и я ничего не могу найти путем поиска скрытых файлов. Затем я попробовал rootkitrevealer Microsoft. Это (rootkitrevealer) находит 279660 (или так), несоответствия и интерфейс так glitchy после этого, я не могу действительно выяснить то, что продолжается. Экран является чокнутым. rootkitrevealer тянет много файлов в папке \programdata\applicationdata и существуют добавленные \applicationdata numberous на конце этого также.
--
Как Вы видите, что мы сделали был установить MSE и MBAM и сканирование с ними обоими. Только cookie отслеживания. Затем я вступил во владение и выполнил rootkitrevealer.exe из Microsoft от флеш-накопителя. Это нашло набор несоответствий, но только приблизительно приблизительно 20, где связанная безопасность, при этом остальное было файлами, которые Вы просто не могли видеть от Windows Explorer. Я не мог видеть, упоминают ли из не файлы выше, те, что сканирование держалось, где в списке. Другая вещь, я понятия не имею, что сделать о вещах, которые придумывает сканирование.
Затем мы проверили другие компьютеры, и они делают то же самое, когда Вы сканируете с Symantec.
Люди в университете, который, как замечают, думал, что у папы не могло бы быть вируса, но 2 из компьютеров, замедленных noticably И IE8, начали действовать все забавные.
Ни одно из моего семейства не очень машинно-ориентировано, и 2 из возможных причин для руткита:
- Мой папа купил новый флеш-накопитель, который поставлялся с исполняемым файлом безопасности данных на нем - Мой папа должен загрузить много статей для его работы
Это - единственные вещи, которые выделяются, но это, возможно, было что-либо.
Что я должен сделать с USBs и картами памяти камеры, я всунул те компьютеры?
Мы в настоящее время создаем резервную копию наших данных, и я отправлю снова после попытки IceSword 1.22. Я просто посмотрел на тему форума своего папы, и кто-то рекомендовал GMER. Я попробую это также.
Мы просто выяснили то, что продолжается. Symantec действует нормальная, и медленные компьютеры, делают к некоторым новым сервисам/программному обеспечению. По крайней мере, у меня есть свои родители с помощью Ubuntu LiveCD для материала банка теперь.
4 ответа
Если бы Вы действительно получали руткит, единственный способ быть совершенно уверенными, что он пошел, то должен полностью отформатировать и переустановить окна. Руткиты могут спрятаться из любого метода сканирования, в зависимости от того, как полностью они были кодированы.
Ваша система, конечно, действует забавная, и если бы руткит revealer поднимает несоответствия, я боялся бы худшего.
Первый комментарий - то, что все главные антивирусные продукты в наше время также проверяют на руткиты как само собой разумеющееся.
Второй комментарий - то, что заражение вирусами обычно происходит из-за небрежности или отсутствия знаний пользователя. Windows не должен действительно обвинять.
Тем не менее я бросил бы как можно больше антивирусов в зараженных компьютерах в надежде, что один из них, по крайней мере, обнаружит вирус, так, чтобы можно было, возможно, искать инструкцию по удалению относительно сети.
Google для "антивируса онлайн сканирует" и использует несколько самых известных антивирусов для сканирования компьютера (каждый занимает несколько часов для завершения). Будьте осторожны со всеми теми поддельными антивирусами, в настоящее время плавающими вокруг.
Некоторые, что мне нравится, являются Посещением на дому Trend Micro и Kaspersky Labs Free Virus Scan. ESET получает превосходные обзоры. Обратите внимание на то, что они могли бы потребовать, чтобы Вы использовали Internet Explorer в качестве своего браузера
Если это перестало работать, используйте спасение вирусный сканер живого CD, который мог бы работать без интерференции от вируса. Мне нравится лучшая Спасательная система Avira AntiVir, потому что она обновляется несколько раз в день и так загрузка, CD актуален. Как начальная загрузка CD это не использует Windows, таким образом, Ваш вирус не может заблокировать его.
В будущем лучше обучите свое семейство использовать Firefox, а не IE, вместе с некоторыми дополнениями, такими как NoScript.
Примечание: Я не поклонник Symantec.
Можно также попробовать RootRepeal. Я услышал хорошие вещи об этом.