Użytkownik "Radosław Sokół" <rsokol@magsoft.com.pl> napisał w wiadomości
news:2009010121204000@grush.one.pl...
> Niestety dzisiaj rezydentny skaner antywirusowy, blokujÄ…cy
> moment instalacji, a nie wykrywający już zainstalowane wi-
> rusy, jest 10x ważniejszy.
W pełni podzielam te słowa. Znów dziś u kogoś wypieprzałem parę wirusów,
w tym jednego rootkita...
Fajne też było to, że ani usunąć pewnego (innego) pliku z wirusem, ani
nadać sobie uprawnień do skasowania klucza w rejestrze uruchamiającego
go... Dopiero Unlocker gniótł sie z tym plikiem kilka sekund i go
wywalił, mimo podobno braku uchwytów blokujących...
Ale to nic, godzinÄ™ i posprzÄ…tane.
U jednej pani miesiąc (z przerwami coprawda) biłem się ze skutkami (i
przyczynami też) pojawienia się takiego "cuda", jak "XP Antivirus
2008"... Nawet fizyczne usunięcie plików z tym trojanem nie powodowało
jego zniknięcia, pojawiał się nagle znikąd, skan off-line też nie
wykrywał. Zwalczyłem go w końcu po 3 ciężkich czyszczeniach rejestru
(ręcznie, z nadawaniem sobie pojedynczo uprawnień do każdego klucza z
osobna, a było ich kilkadziesiąt...set...nie liczyłem, dużo). Wyłączyłem
wszelkie możliwe usługi, poblokowałem wszelkie możliwe porty, wymusiłem
w GPO start zapory systemowej (kilka sekund od startu systemu coÅ›
powodowało jej wyłączenie i niedostępność możliwości włączenia, dopiero
GPO włączyło na stałe, choć nadal blokowała się możliwość zmiany
stanu... na szczęście zapora działała. Kilka dogłębnych skanów ad-aware,
kilka dogłębnych skanów włącznie z archiwami, kilka dogłębnych skanów
off-line i wreszcie, potwór uzbrojony w kagańce, zostal poskromiony.
Było ciężko, bo babol nie został wyłapany w porę i się rozsiał i
pouszkadzał. Jako, ze komputer powolny, to doczekać się końca jakiejś
większej operacji, to katorga. To już nawet dialera kiedyś, wystarczyło
w zasadzie zabić mu proces, wykasować wpis z Rejestru, skasować plik,
obowiązkowo odczekać minutę około (aby zrzucił bufory na dysk) i
nacisnąć reset (aby babol przy zamykaniu nie zapisał się znów gdzieś na
dysku i nie dopisał do Rejestru) - po takim zabiegu komputer wstawał
zdrowy, bez aktywnego babola. Teraz zwykły skan antywirem i wybicie
martwych już niedobitków, co nie zawsze było konieczne.
-- D4 Oddaj krew (nie tylko) dla Filipa... (każda grupa) http://krew.gourl.org oraz wesprzyj jego leczenie i rehabilitację http://filip.gourl.orgReceived on Thu Jan 1 23:20:08 2009
To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Thu 01 Jan 2009 - 23:42:01 MET