[tahanteada]

Tegin ühel kettal puhastustöö.
Windows Defender, MBAM ja SuperAntiSpyware näitasid kõik, et ketas on puhas.

Kuid samas oli mingi sisetunne, et midagi võib veel olla hästipeidetud kujul varjus.
Siis võtsin huvi pärast Avasti, panin ta "ketrama" Thorough-versioonis ning siis oli tulemuseks üsna huvitav leid:

Rootkit peitis ennast pagefile.sys-is.
Avasti poolt leitu kandis nime:
Win32:Alureon-DR (Rootkit)
-----------------------------------------
Igatahes rohkem ma kommenteerida esialgu ei oska, kui seda, et kui skännite edaspidi oma arvutied, siis kasutage programme ja skänni-varianti, mis skänniks läbi 100% kõik failid, mitte ainult osa neist.

Tõsi - aega kulub kõvasti, näiteks Avast keris 80GB ketast Thorough-versioonis oma 8 tundi.

[Tõnna]

Kasutan peale tava AV ka Avast! BartPE plaati ja seal ma reeglina panen alati pagefile ja hiberfilile delete. Esimesel boodil lihtsalt jookseb kauem käima ja siis on jälle kõik ok.

[Lord Ami]

http://www.surfright.nl/en/home/press/hitman-pro-35-removes-tdl3-rootkit

[Marie]

Kas kogu selle avastamise rõõmust tulu ka oli, said sa sellest Win32:Alureon-DR lahti ka, interneti sügavustes tuhnides jääb mulje, et peale avastamise rõõmu Avast rohkemat ei suuda, Win32:Alureon-DR jääb ikka alles ja iga paarikümne minuti tagant annab märku, 8 tundi 80GB on täielik absurd, mull kuluks siis samale tegevusele oma arvutis pea kolm nädalat !!!
Oi millise reklaami leidsin: Trojan:Win32/Alureon.gen!J Removal

[Betamax]

Kas siis ei saa sellest lahti, kui määrata No paging file?

[rtfm99]

mul ei suutnud seda eemaldada avastile lisaks ka avira ega mse. kõik avastasid ja karjusid aga ei eemaldanud. lõpuks peale kümneid skänne viirus kuidagi digimuutus vundoks... arvutikaitse.ee soovitas sellisel puhul kodukasutajale formatit. nüüd on elu lill.mul näitasid kõik av-d, et viirus pesitseb mingis viietähelises dll failis. ka käsitsi eemaldamisest ei olnud kasu.

[Marie]

[tahanteada]

Aga ega siin selles suhtes midagi imestada pole, kuna see on aastaid teada, kuidas "viirustekirjutajad" otsivad võimalusi peita viiruseid / Spysid kohtadesse, mida viirusetõrjed Default ei kontrolli.

Ning see areng on toimunud läbi kogu olemasoleva arvutiajaloo - kui kunagi alguses siis COM ja EXE-failid, tänapäeval prkatiliselt suvalised failid, millesse osatakse "pahalasi" peita.

[rtfm99]

[XYZ]

[tahanteada]

Praegune Avasti leid Pagefile.Sys alt:

Ricsi-831
Virus/worm

Ning seekord tuli see juba välja Avasti Quick skänniga.

[virks]

[tahanteada]

Muutsin teema pealkirja, kuna on näha, et asi hakkab järjest põnevamaks minema.

Eile helistas tuttav, et tal pistis Avast järjekindlalt "kisama", et arvutis on viirus ja see asub peidetud sys-failis.
Lahenduseks pakutakse Delete ja seejärel Restart koos masina läbiskänniga.
-------------------------------------------------------
Momendil täpselmalt ei oska öelda, mis nime kandev viirus või Spy sinna süsteemifailidesse ennast peitnud on.

Kui õnnestub seda masinat lähemalt millalgi näha, eks siis üritan mingist Logist välja lugeda, et millega tegu oli / või on.

[Lord Ami]

[tahanteada]

Meenus, et mõned aastad tagasi, suutis selliseid - hästipeidetud ja kaitstud viiruseid / Spy-sid avastada programm Norman Malware Cleaner.
Tõsi, ma ise pole teda mingi aja jooksul kasutanud ja seetõttu ei oska käigupealt öelda, et kui efektiivne see on.
Aga toon lingi, nii, et kes tahab, võib ise proovida.

http://www.norman.com/support/support_tools/58732/en

Panin selle endale mälupulgale ja võib-olla saan seda ka täna õhtul katsetada 3-e arvuti ülevaatusel.

[DonNiger]

Avast leidis ka minu pagefile.sys'ist viiruse. Lisaks veel OC maailmas laialdaselt kasutatavas SuperPi mod 1.5exe'st troojalese

[Betamax]

[HacaX]

[poiss4]

Kas keegi suudab aidata?

Spoiler

http://www.upload.ee/files/348890/Failid.zip.html

Kas on tegemist viirusega või nuhkvaraga? Kuidas sellest aru saada?
Ise lasin clamwin'iga üle. Ei tuvastanud. Äkki kellelgi miskit muud?

[Duckhead]

poiss4, tahad et kõik läheksid seda nokkima?

[laurx]

virustotal.com peaks oskama selle asja sisust midagi arvata.

[Betamax]

Toodi ka mulle arvuti, mille kõvakettal see alureon-viirus. Senimaani ainult MSE suudab seda leida, aga eemaldada ei suuda. Paljukiidetud avast! paljude seas on üldse vait selle koha pealt. Ketas on IDE>USB ühendusega teise arvutiga ühendatud. Netist lugedes selgub, et see värdjas organiseerib end ketta bootsectorisse. Kas tõesti tuleb ketas täielikult nulli lasta, et sellest elukast vabaneda?

[ollev]

Avast tegelikult peaks avastama selle küll aga selle viiruse eemaldamiseks on kasutatud malwarebytes anti-malwaret koos tdss killeriga safe modes,hitman pro sobib ka.

[andree]

Kumb on viiruste otsimisel parem MSE või CIS, parem selles mõttes, et kontrollib kõiki faile?

[Betamax]

Nii, Microsoft Safety Scanner leidis üles, aga eemaldas ainult osaliselt:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aDOS%2fAlureon.A