[Fanda] Vyháníme havěť

gp1 gp1 na nextra.sk
Neděle Listopad 8 10:06:28 CET 2009


Ahoj Boženka!
V tomto Ti nepomôže dúfať, že sa tá aktivita neozve znova.
Musíš len chvílku vydržať.
Ak je to robené systémom " časovaná bomba" ozve sa po uplynutí časového
intervalu, alebo po určitom počte zapnutí počítača.
Táto háveď sa vačšinou usadí v partition, prípadne v registroch. V rámci
ochrany svojej identity sa pred scanermi schová na iné miesto a ked scaner
prejde daný úsek, znova sa vráti speť....
Teda štandartným postupom nezistitelná.
Priam geniálne riešenie programátora...
Rootkity tak jednoducho nenájdeš klasickými scanermi.
Kamarát to v spolupráci s firmou Eset chytal asi mesiac. Našli a
zlikvidovali...
Neboj, aj tak s tým môžeš vybabrať, ked nabootuješ s CD, alebo diskety, teda
v prípade, že sa nedostane do pamete, aby sa uplatnili algoritmy na
skrývanie.
Zatial som nenašiel editor disku, ktorý by chodil v prostredí Windows a 
spolupracoval so screen readerom. Inak by to bola hračka riešitelná tak 
behom hodinky, ked sa priamym editovaním disku prepíše potrebný úsek. Hral 
som sa s tým niekolko rokov, tak viem, čo tvrdím!
V podstate rovnaký princíp práce, ako pri záchrane dát.
Peter

----- Original Message ----- 
From: "Boženka Gogoľáková" <gogolakova na nextra.sk>
To: <fanda na tereza.fjfi.cvut.cz>
Sent: Saturday, November 07, 2009 8:11 PM
Subject: Re: [Fanda] Vyháníme havěť


> No to som zvedavá jak toto dopadne, dnes je celý deň kľud, ale asi to
> pošlem do avastu na analýzu celé, možno to cez vzdialené pripojenie skôr
> zanalyzujú, bohvie či to nieje falošný poplach, ja nebadám žiadne
> spomalenie ani problémy nič. A už som toľko kadečoho vyskúšala, že začínam
> pochybovať, že tu dačo je, alebo je to tak sofistikovane zahrabané v
> systéme, že mi ani svätý nepomôže.
> Božka
> KONTAKTY:
> WEB: luthy.webranet.sk
> RSS: http://luthy.webranet.sk/feed/
> TWITTER: www.mikroblog.cz/luthy
> ICQ: 215367859
> SKYPE: boziatko
> MAIL: gogolakova na nextra.sk
> ----- Original Message ----- 
> From: "gp1" <gp1 na nextra.sk>
> To: <fanda na tereza.fjfi.cvut.cz>
> Sent: Saturday, November 07, 2009 8:04 PM
> Subject: Re: [Fanda] Vyháníme havěť
>
>
>> Ahoj!
>> Zbaviť sa hávede nie je jednoduché.
>> V prvom rade treba opraviť partition, aby sa nič odtial neaktivovalo,
>> teda
>> nabootovať s CD, preisť na konzolu a dať príkaz
>> fix mbr
>> reštart
>>
>> potom vypnúť zálohovanie systému a vymazať všetky zálohy.
>> Reštart.
>> Oscanovať počítač a odstrániť vírusy a iné aktivity
>> Vyčistiť registre.
>> Niektoré veci môžeme robiť aj s diskom v externom boxe, alebo jeho
>> pripojenéím USB adapterom.
>> Tolko stručne...
>>
>> Peter
>>
>> ----- Original Message ----- 
>> From: "Michal Raclavský" <michal.raclavsky na tiscali.cz>
>> To: <fanda na tereza.fjfi.cvut.cz>
>> Sent: Saturday, November 07, 2009 5:35 PM
>> Subject: Re: [Fanda] Vyháníme havěť
>>
>>
>> Zdravím,
>> reagoval jsem na jinou zprávu, kde byl jiný předmět. Mě se něco podobného
>> před několika lety také stalo. Tenkrát byla havěť doslova zažraná v BMR,
>> takže jsem si s tím neporadil, protože při restartu a to každém se vše
>> nahrálo znovu. Skončilo to pak v opravě. Od té doby o AVG nechci ani
>> slyšet,
>> i když možná ta verze 9.0 bude dobrá, ale už mám Noda, takže zatím klid.
>> Michal
>> ----- Original Message ----- 
>> From: "Boženka Gogoľáková" <gogolakova na nextra.sk>
>> To: <fanda na tereza.fjfi.cvut.cz>
>> Sent: Saturday, November 07, 2009 5:11 PM
>> Subject: Re: [Fanda] Vyháníme havěť
>>
>>
>>> To je síce pekné, ale na jednej strane radíme užívateľom, majte zapnutú
>>> obnovu systému, ak sa vám niečo stane, máte to  z čoho obnoviť. Na
>>> druhej
>>> strane, niečo sa ti tu nasťahuje do pc a už táto super rada neplatí.
>>> Zatiaľ
>>> sa to dnes objavilo len raz, ale neviem či to je len poplašná správa
>>> alebo
>>> nie. V núdzovom režime si to práve antyvirák odmazal, ktovie kde to ešte
>>> je
>>> zahrabané, ak ten súbor dám vyhľadať, nenájdem ho v počítači. Tak
>>> netuším.
>>> Božka
>>> KONTAKTY:
>>> WEB: luthy.webranet.sk
>>> RSS: http://luthy.webranet.sk/feed/
>>> TWITTER: www.mikroblog.cz/luthy
>>> ICQ: 215367859
>>> SKYPE: boziatko
>>> MAIL: gogolakova na nextra.sk
>>> ----- Original Message ----- 
>>> From: "Jaromír Vít" <jaromir.vit na volny.cz>
>>> To: <fanda na tereza.fjfi.cvut.cz>
>>> Sent: Saturday, November 07, 2009 5:05 PM
>>> Subject: [Fanda] Vyháníme havěť
>>>
>>>
>>>> Zdravím, mohlo by se to vracet ze Systen Volume Information. Nevím,
>>>> ale, zda je tato záloha i ve Vistách. V XP to tak je. Tam pomůže leda
>>>> odvirovat v nouzovém režimu.
>>>> Budu citovat oddíl z www.viry.cz "Pokud je aktivní funkce OBNOVA
>>>> SYSTÉMU,
>>>> havěť může "vylézat" ze složky System Volume Information (_RESTORE).
>>>> Je potřeba vypnout funkci OBNOVA SYSTÉMU (viz. níže). Odtud může systém
>>>> automaticky obnovovat soubory - bohužel i v infikované podobě."
>>>> Zkuste si nastudovat starý dobrý návod zde:
>>>> http://www.viry.cz/go.php?p=viry&t=clanek&id=2
>>>> Přeji úspěšné "vyhnání" i bez Benešových dekretů :-o
>>>>
>>>> Mirek
>>>>
>>>>
>>>>> Zdravím,
>>>>> nechci dělat paniku, ale mohlo by to být co se stalo před několika
>>>>> lety mě, že mi totiž podobným způsobem se
>>>>> generovaly nějaký temp soubory a bylo to zalezlý v memory boot
>>>>> sectoru, takže při restartu se to tam dohrálo. To
>>>>> mi tam tenkrát propustilo AVG 7.0 tak jsem vyzkoušel taky chváli
>>>>> Avast, ale nakonec mám koupený Nod a vše je ok.
>>>>> Michal
>>>>> ----- Original Message ----- 
>>>>> From: "Boženka Gogoľáková" <gogolakova na nextra.sk>
>>>>> To: <fanda na tereza.fjfi.cvut.cz>
>>>>> Sent: Saturday, November 07, 2009 4:16 PM
>>>>> Subject: Re: [Fanda] Stolni internetove radio.
>>>>
>>>>
>>>>>> TAk tu to máte, Avast píše v logu toto
>>>>>> Súbor C:\Users\Boženka\AppData\Local\Microsoft\Windows\Temporary
>>>>>> Internet
>>>>>> Files\Content.IE5\M8D3PKX6\news[1].htm je infikovaný vírusom
>>>>>> HTML:Illiframe-D [Trj], Odstránený
>>>>>> Ale keď som vypla a znovu zapla počítač, vliezlo mi to tam zasa.
>>>>>> Božka
>>>>>> KONTAKTY:
>>>>>> WEB: luthy.webranet.sk
>>>>>> RSS: http://luthy.webranet.sk/feed/
>>>>>> TWITTER: www.mikroblog.cz/luthy
>>>>>> ICQ: 215367859
>>>>>> SKYPE: boziatko
>>>>>> MAIL: gogolakova na nextra.sk
>>>>>> ----- Original Message ----- 
>>>>>> From: "Martin Beran" <jazzeman na seznam.cz>
>>>>>> To: <fanda na tereza.fjfi.cvut.cz>
>>>>>> Sent: Saturday, November 07, 2009 3:55 PM
>>>>>> Subject: Re: [Fanda] Stolni internetove radio.
>>>>>>
>>>>>>
>>>>>>> Ahoj,
>>>>>>> zkušenosti nemám, ale při dnešním trendu dotykových displayů bych se
>>>>>>> v
>>>>>>> prvé řadě obával, že to bude poslepu naprosto neovladatelné.
>>>>>>> Martin.
>>>>>>>
>>>>>>> Frantisek Dolezal napsal(a):
>>>>>>>> Zdravim všechny.
>>>>>>>> Na stránkách www.conrad.cz jsem našel zajímavá stolní
>>>>>>>> internetová rádia. Nejvíce mě zaujalo INET MUSIC BOX.
>>>>>>>> Máte někdo s těmito rádiinějaké skušenosti?
>>>>>>>> Děkuji Doležal.
>>>>>>
>>>>>>
>>>>>> __________ Informace od ESET Smart Security, verze databaze 4436
>>>>>> (20090918) __________
>>>>>>
>>>>>> Tuto zpravu proveril ESET Smart Security.
>>>>>>
>>>>>> http://www.eset.cz
>>>>>>
>>>>>>
>>>>>>
>>>>
>>>>> __________ Informace od ESET Smart Security, verze databaze 4436
>>>>> (20090918) __________
>>>>
>>>>> Tuto zpravu proveril ESET Smart Security.
>>>>
>>>>> http://www.eset.cz
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>
>>>
>>> __________ Informace od ESET Smart Security, verze databaze 4436
>>> (20090918) __________
>>>
>>> Tuto zpravu proveril ESET Smart Security.
>>>
>>> http://www.eset.cz
>>>
>>>
>>>
>>
>> __________ Informace od ESET Smart Security, verze databaze 4436
>> (20090918)
>> __________
>>
>> Tuto zpravu proveril ESET Smart Security.
>>
>> http://www.eset.cz
>>
>>
>>
>>
>> __________ Informacia od NOD32 4581 (20091107) __________
>>
>> Tato sprava bola preverena antivirusovym systemom NOD32.
>> http://www.eset.sk
>>
>>
>
>
> __________ Informacia od NOD32 4583 (20091108) __________
>
> Tato sprava bola preverena antivirusovym systemom NOD32.
> http://www.eset.sk
>
>



Další informace o konferenci Fanda