szülinapomon beszereztem magamnak egy "Cutwail" elnevezésű trójait és nem tudok tőle megszabadulni. Ezért aztán csak nagyon módjával internetezhetek.
Szép napot mindenkinek.
Kedves Sirius.Isten éltessen sokáig.
Sajnos már nem csak ez a szülinapi csomag van a gépeden,többszörösen van fertőzve.Az Internet Explorer át van irányítva a háttérben,és letöltött még sok más gonosz kis manót.
Csak szakemberrel tudod megoldatni a problémát,aki erre van specializálódva.Még így se merem kizárni a teljes újratelepítést.
Ki kell kapcsolni a rendszervisszaállítást,és bebootolni csökkentett módban.Szükség van egy rejtett folyamat érzékelő progira,és ami képes kilőni azokat.Én ilyenkor a Hijackthis-el kezdem.Át kell takarítani a rendszerleíró adatbázist,és kézileg átbogarászni a windows rendszermappákat.Újra és újra végig kell futtatni egy normális vírus,és féreg keresőt.Az Internet Explorer biztonsági zónája is el van állítva,és biztos,hogy tölti le folyamatosan gonosz webhelyekről az újabb kódokat,nem is beszélve arról,hogy lehet már a gépedről küldik széjjel a spamokat is.Ha nincs a gépeden egy normális tűzfal,pl outpost,akkor még egy újra telepítés után is be fog szivárogni valami,ami már megnyitotta előzőleg is a hátsó portokat.Direkt erre a célra vannak írva ún. robotok,amik azt figyelik,hogy mikor csatlakozik az ip a hálózathoz.Csak nagyjából vázoltam fel,ha nincs a gépen fontos adat,akkor nem szoktam kínlódni vele,hanem újra húzom a rendszert.Ha így hagyod,csak halmozódnak a dolgok,és szerepet játszik a géped mások fertőzésében,aki csatlakozik a hálózathoz.
"A Cutwail trójai rootkit funkciókkal is rendelkezik, ezért a felismerése és az eltávolítása sem egyszerű feladat.
A Cutwail trójai sok mindent elkövet azért, hogy a fertőzött rendszerben minél tovább tudjon rejtve maradni. Ha mégis felismerésre kerül, akkor olyan sok módosítást végez a Windowsban, hogy az eltávolítása nehézségekbe ütközhet. A trójai ugyanis a Windows különféle rendszerfájljait is megfertőzi, és különböző rendszerfolyamatok mögé rejtőzik el. Olyan fontos állományokat károsít, mint például a winlogon.exe.
A trójai az Interneten keresztül képes saját maga frissítésére, valamint különféle kártékony programok letöltésére.
Rejtőzik és védekezik a Cutwail trójai
Amikor a Cutwail trójai elindul, akkor az alábbi műveleteket hajtja végre:
1.
Létrehozza a következő fájlokat a Windows System32 vagy a Temp könyvtárába:
[véletlenszerű számok].sys
cel90xbe.sys
restore.sys
2.
Windowsos szolgáltatást hoz létre a következő nevek valamelyikével:
Ip6Fw
NetDetect
Secdrv
3.
Egyes esetekben bemásol egy runtime.sys fájlt a C:\ meghajtóra, majd betölti azt a memóriába.
4.
A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\runtime\Start = 0x3
HKLM\SYSTEM\CurrentControlSet\Services\runtime\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\runtime\ImagePath =
"\??\%Windows%\System32\drivers\runtime.sys"
5.
Megfertőzi az Internet Explorerhez tartozó folyamatot.
6.
Interneten keresztül megpróbálja frissíteni saját magát, valamint különböző kártékony fájlokat letölteni.
7.
A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\runtime2\Start = 0x3
HKLM\SYSTEM\CurrentControlSet\Services\runtime2\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\runtime2\ErrorControl = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\runtime2\ImagePath =
">\??\%Windows%\System32\drivers\runtime2.sys"
8.
Betölti a runtime2.sys állományt a memóriába.
9.
A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKLM\SYSTEM\CurrentControlSet\Services\runtime2\ImagePath =
"\SystemRoot\system32\drivers\runtime2.sys"
HKLM\SYSTEM\CurrentControlSet\Services\runtime2\Type = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\runtime2\Start = 0x1
HKLM\SYSTEM\CurrentControlSet\Services\runtime2\DependOnGroup = "File System"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\runtime2.sys\
(Default) = "Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\runtime2.sys\
(Default) = "Driver"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startdrv
= "%Windows%\Temp\startdrv.exe"
10.
Módosítja vagy letörli a %Windows%\System32\winlogon.exe rendszerfájlt.
11.
Letörli az imapi.exe nevű állományt (amennyiben az létezik)."
Ja igen!Az Univerzum csak ne üzengessen ilyen módon!