Izbris datoteke=trojanec

E

ergo

Fizikalc

3. sep 2007

1.030

39

48

• 28. jul 2010

• #1

Torej problem:
cureit=dr.web mi po skeniranju sistema izpiše, da je datoteka z imenom jmtohvy.sys, ki se nahaja na C:/WINDOWS/system32/drivers v bistvu trojanec (Trojan.NtRootKit.9374) in ga da v karanteno ter potem v izbris, ki pa se po ponovnem zagonu ne izbriše.

Ker gre očitno za okuženo datoteko, s sumljivim datumomo nastanka, me zanima, kako jo fizično izbrisat, ker mi sistem ne dovoli običajnega izbrisa, češ da izvorne datoteke ali diska ni mogoče prebrati.
Any ideas?

 

B81

22. jul 2007

37.745

11.022

113

• 28. jul 2010

• #2

Safe mode in izbris?

 

R

Radirko

Fizikalc

18. avg 2007

6.242

0

36

• 28. jul 2010

• #3

Bo treba najti tudi tuisto stvar, ki jo na novo ustvarja, ce ti to programcic pobrise med zagonom OSa (ce jo poskusa samo med delovanjem OSa, potem zamenjaj programcic).

 

S

stein

Fizikalc

16. sep 2007

19.575

1

36

• 28. jul 2010

• #4

1.) Daj full scan, da najde še morebitne preostale dele trojanca.
2.) Uporabi drugi test: Housecall in Eset Online Scan sta podobna (klik in dela) kot CureIt

 

B81

22. jul 2007

37.745

11.022

113

• 28. jul 2010

• #5

Zgleda, da je tole povezano s kakim programom, ki se zažene ob zagonu.
najboljše bi verjetno bilo pregledati disk ob zagonu z zagonskim AV cedejem.

 

E

ergo

Fizikalc

3. sep 2007

1.030

39

48

• 2. avg 2010

• #6

Zagnal več online scanov in vsak pokaže isto: jmtohvy.sys na mestu windows/system32/drivers je trojanec, ki bo izbrisan po restartu.
Pa ni! Hudič kar ostane!

Kaj še lahko naredim?

 

W

wildude

Fizikalc

24. jun 2008

1.573

29

48

• 2. avg 2010

• #7

Uporabi program Unlocker.
http://ccollomb.free.fr/unlocker/

Tudi v običajnem načinu opravi svoje delo. Desni klik na tole .dll datoteko, s spustnega seznama izberi možnost izbrisa, nato pa klikni na "Unlock all", "Odkleni vse" ali nekaj takega.

 

Nazadnje urejeno: 2. avg 2010

B81

22. jul 2007

37.745

11.022

113

• 2. avg 2010

• #8

http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html

s tem...

 

S

stein

Fizikalc

16. sep 2007

19.575

1

36

• 2. avg 2010

• #9

V Windows Safe mode si probal?

(Z onim Avira CD-jem sem sam imel precej problemov, včasih zamrzne ko klikneš na bilokateri gumb na levi ipd...)

 

erikson

Guru

25. avg 2007

22.726

6.501

113

• 2. avg 2010

• #10

Računalnik poženeš z Windows setup CD-ROM-a in pritisneš R - Recovery Console. Po izbiri OS in prijavi tipkaš naslednje ukaze:

cd \windows\system32\drivers
attrib -r -h -s jmtohvy.sys
del jmtohvy.sys

Restartaš računalnik in problem je rešen.

 

bizi

Guru

21. nov 2007

27.271

-2.011

113

Kočevska

• 2. avg 2010

• #11

Pajade. Ko se bo računalnik restartal, bo fajlček spet na svojem mestu. Rootkitov se ne odstrani tako enostavno. Velikokrat se jih sploh ne da in je potreben format.

 

erikson

Guru

25. avg 2007

22.726

6.501

113

• 2. avg 2010

• #12

Za probati je, jaz sem doslej vedno tako rešil.

 

R

Radirko

Fizikalc

18. avg 2007

6.242

0

36

• 2. avg 2010

• #13

Citat:
Uporabnik bizi pravi:
Pajade. Ko se bo računalnik restartal, bo fajlček spet na svojem mestu. Rootkitov se ne odstrani tako enostavno. Velikokrat se jih sploh ne da in je potreben format.

Klikni za razširitev

Format je potreben za nesposobne in nestrpne. Res je, kar si napisal (da vsak vsaj priblizno solidno napisan virusek in podobna nesnaga pazi na svojo rit in se poskusa sestaviti nazaj, tudi ce en del pospravis), a se da tudi take stvari pocistiti. Je pa precej rocknega dela, tega avtomatska orodja ponavadi ne zmorejo.

 

E

ergo

Fizikalc

3. sep 2007

1.030

39

48

• 3. avg 2010

• #14

Si lahko prosim malo bolj natančen,? torej kako se ročno odkrižati tega s.ranja?

 

R

Radirko

Fizikalc

18. avg 2007

6.242

0

36

• 3. avg 2010

• #15

Ne morem biti, ker je vsaka situacija specificna (ne da se narediti navodil po tockah, ki bi potem zanesljivo delovala). Enkrat sem to tukaj se poskusil nekomu razloziti (kaksnega pol leta nazaj se mi zdi), pa je bilo zapravljanje casa. Pospraviti je pac potrebno vsaj toliko delov naenkrat, da se veriga pretrga, torej da se ne zmore vec v celoti obnoviti, zacnes pri tisti sledi, ki jo imas edino na voljo in isces kaj jo vsakic poustvarja ... in tako naprej, dokler ni krog sklenjen (take zadeve se ponavadi naredi tako, da en del drugemu "sciti hrbet", ce je en del slucajno pobrisan ali onesposobljen, ga drug del cimprej restavrira nazaj). Ko se enkrat ne obnavlja vec, poisces se posledice in morebitne ostanke, ki bi spet lahko poustvarili celo verigo (tukaj so spet aktualni avtomatski iskalniki virusov in sorodne golazni).

Zelo ti bo v pomoc ProcessXP, potem v Windowse vgrajeni iskalnik, ki lahko isce po vsebini datotek (tudi binarnih, iskal bos namrec predvsem tekst) in kaksen hex editor (meni je pri srcu HHD). Regedit je tako ali tako prilozen vsakim Windowsom, koristen pa je se en racunalnik, kjer imas dostop do Interneta (Google). Zasmeteni racunalnik seveda odklopis od omrezja, dokler ni vse pospravljeno.

Ce znas delati z racunalniki, potem drugih navodil niti ne rabis, ce ne znas, potem tako ali tako ne bi imel nic od njih (bos porabil manj casa, ce naredis quick format in vse znova instaliras).