[dyyp]

Nüüd oleks küll abi vaja.
Nimelt olen siin hädas mingit tüüpi viirusega, ilmselt Rootkit.
Arvuti Asuse laptop, Win Vista Business, default AV AVG Free edition.
Algas kõik sellest, et ükspäev hakkas masin kasutajat välja logima. Lihtsalt log off ja muud midagi. Kui sisse tagasi logid siis on arvuti CA 15-30 min suht uimane ja ketas kirjutab koguaeg midagi. Panin siis AVG full Scanni tegema, ja see leidis rootkiti.
Infectioni nimeks teatab "Hidden driver" ja healida ei oska.
Delete saab teha kuid ilmselt pole sellest abi, kuna peale restati on uus fail tekkinud.
Ilmselt on tegu mingi ajutise failiga, mis alati uuesti tekib uue nimega.
asub tema alati samas kohas:
C:\Windows\System32\Drivers\a1vrmd0v.SYS

Tegin siis paar Online virus scanni(kaspersky, trendmicro, symantec) need ei leia nagu midagi.
Hakkasn siis erinevaid spyware remove progesid neti avarustest otsima. ainus mis midagi leidis oli SUPERAntispyware. Kuid ka see ei leidnud pärs õiget asja, leidis tmp internet failidest mingi Trojan dropper tüüpi asja ja eemaldas selle edukalt. Kuid kasu polnud sellest kokkuvõttes midagist.
Nüüd siis hakkab endal vaikselt juhe kokku jooksma, äkki on kellelgi soovitusi edasiseks tegevuseks.

Tänan ette asjalike soovituste eest.

PS:Format jne. ei ole option hetkel.

[Lord Ami]

http://www.ekaitse.ee/index.php?option=com_agora&task=topic&id=19&Itemid=2
Soovitan seda lugeda. Jäta SAS vahele, kui sul ta uuendatud oli. Kui polnud, tee ka SASiga kontroll.

Seejärel:
http://www.ekaitse.ee/index.php?option=com_agora&task=topic&id=76&p=1&Itemid=2#p136
Lae alla Combofixi skript siit (spetsiaalselt Sinule) Ära seda vaata!

Lihtsalt käivita Combofix. Esita logi.

[dyyp]

No nii, tegin need ära.
CCleanreit kasutan niikuinii pidevalt.
SAS ei leidnud enam midagi,samuti MBAM.

Combofix toimetas ära, peale selle restarti annab masin käiviumisel errori "unable to log in, File is missing, MSVCR70.DLL, Try to reinstall.
Samas pika pusimise peale läheb käima.
Logi on siin:
http://www.upload.ee/files/195878/Combo_Log.txt.html

[Lord Ami]

http://pcsupport.about.com/od/findbyerrormessage/a/msvcr70-dll-not-found-missing-error.htm

Muidu on arvuti korras?

[dyyp]

Ma täpselt ei teagi, muidu nagu töötab aga AVG leiab ikka sama rootkiti...

[Lord Ami]

http://www.ekaitse.ee/index.php?option=com_agora&task=topic&id=76&p=1&Itemid=2#p136
Skript sulle:
http://www.upload.ee/files/196135/CFScript.txt.html

[Lemmy]

Proovi Avast'i. Sellega on igatahes positiivne kogemus rootkit'i eemaldamisel olemas (antud juhul muidugi ei garanteeri, aga proovimine ei maksa midagi). Samuti toetab boot-time scan'i, mis enamuse kurjust suudab välja rookida enne, kui see sõrad vastu saab ajada.

[Dogbert]

Avastil pole jälle heuristilist analüsaatorit, nii et andmebaasis puuduvaid ja polümorfseid viirusi ta kinni ei püüa. Muidu pole tal viga.
Avira oleks ehk parem valik.

[Lord Ami]

[priitr]

Üldiselt on nii, et kindel olla *st lahtisaamises võid olla alles pärast puhast uut installeerimist...

[dyyp]

[Dogbert]

[tahanteada]

See RootKit ja"a"b nii kauaks mo"llama, kuni taibatakse t6rjeprogramm installida Safe Modes, samuti Safe Modes Full install.

Installi Safe modes Avast ning luba tal arvuti ska"nn "pa"rast restarti".

Antud juhul on Avast ainus mis suudab sellist resistentset root-kitti rynnata.

Windowsi all jamamine on ajaraiskamine, kuna viirus ka"ivitub esimesena ja blokeerib k6ik rynnakud enda vastu.

Postitatud mobile device

[Dogbert]

Rootkit võib ka safe modes aktiivne olla. Ainus kindel viis, mille puhul nakatunud süsteemi rootkit aktiivne olla ei saa, on offline skännimine, st kui op-süsteemi ükski osa ei ole aktiivne - ketta skännimine teise arvuti küljes või teisel kettal (sh CD/DVD) või partitsioonil asuva puhta op-süsteemi pealt.

[tahanteada]

Ma usun millegipa"rast, 6igemini olen ysna kindel, et seesama AVG ise ongi nakatatud ja nüüd viirus irvitab AVG "kaitsva tiiva all", kuidas teda uuesti ja uuesti rynnata yritatakse ja kuidas AVG teda usinasti kaitseb.

Postitatud mobile device

[dyyp]

Kõik scannid on tehtud Safe modes, see on ju elementaarne..
Samas olen ka ise hakanud kaaluma selle AVG välja vahetamist, kuna ilmselt on ka see juba nakatunud.
Hetkel teises arvutis scan võimalus puudub, kuna tegu on läppariga ja mul pole seda kuramuse üleminekut läpaka ketta jaoks.
Ootan ära mis Lord Ami oma scripti kohta ütleb ja siis proovin Avasti ära

[tahanteada]

Avast on jah ainus, mis suudab kohe bootimisel masinat ska"nnida.

Yks kord olen kohanud Boot-viirust, mida Avast rynnata ei suutnud. Rohkem sellist viirust ette pole tulnud ja yleja"a"nutele on Avast suutnud Delete-piitsa anda.

Postitatud mobile device

[Dogbert]

Kui läppar on SATA kettaga (Vistaga masin peaks nagu olema, kui sa Vistat mõne vana juustu peale pole ajanud) ja lauaarvutil SATA liides olemas, siis pole ju mingit üleminekut vaja

Muidugi kui teine masin on ka läpakas ja ilma eSATA pesata, siis on muidugi plinder ja ilma adapterita ei saa.

[Lord Ami]

Skriptiga pole mõtet vast jamada, kui viiruse fail on kuskil peidus ja loob ennast uuesti.
Ehk proovi Avasti boot-time scanni ja Hitman Pro'd
www.hitmanpro.com
(eemaldamine toimub enne windowsi käimaminekut - suurem võimalus lahti saamiseks)

[dyyp]

Ei Avast ega Hitman leidnud kumbki midagi.
Krt, mõistus hakkab lõppema. Proovin täna teises masinas ketast scannida, vaatame kas on kasu.
Samas hakkab tekkima sportlik huvi, mis asi see nii kõva juurikas on, et millegagi kätte ei saa.
Või on veel kellelgi ideid härrased.

[Spezz]

Khm, milleks on mingi erijuhu-jama peale vaja kulutada tunde kui fresh install võtab kordades vähem aega?

[Lemmy]

Ja puhast ossi, ilma lisasoftita, hakkadki kasutama?
Kui mitte, siis korruta opsüsteemi installiaeg vähemasti numbriga 3.

[kellu]

malwarebytes anti-malware jättis mulle 2 suht karmi rootkitiga trooja eemaldamisel väga hea mulje.
AVG ja muud on tervislik selle kasutamise ajaks uninstallida. pärast panin AVG tagasi, AVG küll leidis selle trooja aga sinder oli rootkitiga koos ja AVG sellisel kujul lahti sest saastast ei saand.

[dyyp]

No nii, aega läks aga asja sai.
Tegu polnud siiski viirusega vaid mingi Asuse Powermanageri totaka hidden driveriga, mida antiviirused peavad troojaks.
Samuti leidis lahenduse see rumal Log off probleem.
Peale pikka logide uurimist ja netiavaruste lugemist, sain aru et tegu on siiski täiesti süsteemse log off käsuga.
Nimelt selgus et kui panna masinale screensaver näit 1 min. pärast.(no ju ma tahtsin midagi katsetada) ja samas on aktiivne linnuke "on resume, display log on screen" toimubki täpselt nii nagu peab.
Kui me nüüd lülitame screensaveri välja, siis nagu eeldaks et ka log offi ei toimu ja ka selle linnukese kast muutub deaktiivseks(halliks).
Kui paraku jääb log off toimima sõltumatult screensaverist. Lahendus imelihtne, suva screensaver sisse lülitada, eemaldada eelpool mainitud linnuke, ja uuesti screensaver välja.
Ja kõik toimib nii nagu peab.
PS: nüüd väike märge Format C: kummardajatele, oleks ju totter olnud selliste pisiprobleemide pärast format teha?

[kännuämmelg]