[GameFan]

Tervist,
Oleks siis selline probleem et paar päeva tagasi helistati mulle Starmanist.
Räägiti et mul on Torpig viirus ja et kui sellest nädalaga lahti ei saa siis võetakse nett ära.

Meil on internetiga ühendatud 3 arvutit.
Enda arvuti olen läbi scanninud : Spybotiga, Aviraga, Kasperskyga, Xoft Spyga.
Ükski pole nendest leidnud mitte ühtegi viirust.

Teisi arvuteid olen scanninud : Kasperskyga ja Spybotiga.
Nendes pole samuti midagi leitud.

Oleksin väga tänulik kui keegi oskaks mind aidata seoses selle probleemiga.

[Lord Ami]

http://www.arvutikaitse.ee/?p=2349
http://www.arvutikaitse.ee/?p=1275

Uuenda need ning tee täielik kontroll kõigis arvutites. Eemalda leitud ohud.
Starmani poolt väga hea liigutus

[GameFan]

Scannisin mõlema programmiga arvutid läbi.
Ühest arvutist leidsin 2 viirust : Sobig ja mingi Rogue viirus, aga muud polnud.
Teised arvutid olid puhtad ja ühtegi märki Torpig viirusest ei olnud.

Oleksin väga tänulik edasise abi eest .

[Lord Ami]

http://quickscan.bitdefender.com/
Uuri kas see leiab midagi. Kui mitte, anna teada

Esita Prevx logi
http://www.ekaitse.ee/index.php?option=com_agora&task=topic&id=9&Itemid=2

[GameFan]

Sain lõpuks kõikidel arvutitel selle scanni tehtud.
Aga kahjuks ei leidnud ükski nendest mitte midagi .

Oskate äkki veel midagi soovitada ?

[Lord Ami]

[tahanteada]

GameFan: Tegemist on hoopis RootKit-iga, mitte viirusega viiruse mõistes. Seega ei peagi seda viirusetõrjed ilmtingimata leidma, kuna paljud, nutikad, RootKitid käivitatakse arvutis juba Bootimisel ning siis blokeeritakse kõik rünnakud enda vastu.
http://en.wikipedia.org/wiki/Torpig

Ja veel üks asi, kui arvutid on omavahel Local Networkis siis võib selline RootKit ka mõnes teises arvutis hoopis pesistseda ja sooritab oma rünnet läbi sisevõrgu teisele arvutile ja sealt edasi.

Ainus varinat: Kõvakettad masinatest välja, mõnele teisele, täiesti puhtale, masinasse lisakettaks ja siis alles hakkad skännima.

Ja veel varinat: Võta Avast, installi see Safe Modes ja lubad Avastil teha Skänn "pärast Restarti". Vaata, kas Avasti Boot-Skänn suudab selle RootKiti üles leida või ei.
---------------------------------------------------
Ja tee masin enne puhtaks, kui Su kõik pangaarved tühjaks tehakse.
http://tech.slashdot.org/article.pl?sid=09/05/04/0212214

[Lord Ami]

Kas Prevx ei leidnud kindlasti midagi? Rootkitte peaks see programm just "eriti" hästi leidma.

[GameFan]

juhtus nüüd selline asi, et kui täna üritasin oma arvutit tööle panna siis hakkas mingi väga kõva pinin tulema arvuti seest ( kõvakettast tundus nagu tulevat ). Nüüd ma nagu eriti ei julge oma arvutit tööle panna enam.
Oskate öelda äkki et mis juhtus ja kuidas ma selle ära parandan ?


Mul pole sellist võimalust et võtta kõvakettad välja ja scannida nad puhtal arvutil uuesti üle.
Ma proovin Prevxiga scannida läbi need arvutid mis töötavad.

Esimene arvuti : http://www.upload.ee/files/205378/Scan_1.log.html
Teine arvuti : http://www.upload.ee/files/205381/Scan_2.log.html
Kolmas arvuti : http://www.upload.ee/files/205452/Scan_3.log.html

Edit : See pinin tuli hoopis sellest, et CPU fan ei töötanud aga kui ma BIOSesse läksin siis hakkas tööle.

[Lord Ami]

Väga kahtlane. Ehk saad Starmanilt üle küsida, kas Torpig kui selline on veel alles ja tegutseb?
Ma väga kahtlen selles. Kui sul just GTA SA pole mingi cracked vms.

Oled sa viimasel ajal midagi kahtlast installinud? (natuke enne seda kui Starmanist kõne tuli)

Saatsin Prevx logid analüüsimisele. Ise sealt midagi kahtlast ei leidnud.
Võid proovida, kas GMER leiab midagi (punast)
http://www.gmer.net/
PS: Sulge/seiska kõik viirustõrjed jms enne kui GMERi käivitad.
Siis vajuta Scan.

[GameFan]

Em... Mul on küll GTA SA cracked, aga kuidas see siia puutub üldse ?
Ma kohe proovin GMERi .

[Lord Ami]

Lihtsalt, et ehk oli sellega kaasas mingi viirus vms.
GTA SA on arvutis juba kaua aega olnud?

[tahanteada]

Lord Ami: Kui see RootKit istub mõnes teises arvutis ja kasutab selle konkreetse arvuti IP-aadressi oma liikluseks, siis Sa jäädki seda arvutit lõpmatuseni peksma ja tulemus on seesama, et midagi ei leita, aga rünnakud sellest võrgust jätkuvad. Ning RootKit irvitab seda vaadates pealt, et pekske, pekske, nagunii te mind üles ei leia.

Ja selles, et viirused oskavad ennast, Local Networki korral, peita suvalisse teise Local Networki masinasse, selles pole mitte midagi uut. Seda oskasid viirused teha oma 5-6 aastat tagasi - või veel kauem aega tagasi.

[Lord Ami]

Ma tean seda, aga ehk annab ühes kolmest arvutist see naga ülesse leida ja kahjutuks teha.
Local networkis on ju hetkel 3 masinat.

[GameFan]

Tegelikult GTA SA on umbes natuke üle nädala olnud niiet see võibki probleem olla.
Uninstallin selle siis.

[HacaX]

Ei taha hästi uskuda, et mõni rootkit nii hädine oleks et proge, mille vahendusel masinasse sai sõidetud, eemaldamisega ka ise minema läheks

Kui ketta teise masinasse paigutamine pole võimalik (selle liigutusega maksaks ka võimaluse eksisteerides ettevaatlik olla, juhuks kui pahalane kasutab AUTORUN.INFi enda käimatõmbamiseks - Win käivitab neid vaikimisi kõvakettalt samamoodi nagu plaatideltki) siis on alati plaadilt buutimise ja skännimise võimalus - kuna HDlt midagi ei käivitata siis pole kurjamil ka võimalust end peita.
Avast vist pakkus mingit otse plaadile kribatavat varianti, Linuxi liveCDd on võimaluseks (mitte plaadil paiknev AV, mis, kui ta ka olemas on, kipub reeglina olema ClamAV mis oma efektiivsusega just ei hiilga, aga Linuxi abil saab netti ja siis peaks juba andma mõnd online skänenrit kasutada), UBCDl oli paar DOS-resiimis töötavad AVd koos NTFSi draiveriga peal, kui mõni Winni liveCD juhtub käepärast olema siis ka toda võib kasutada, jne.

[tahanteada]

Paar linki kah selle kohta, et RootKit võib pesitseda Local networki suvalises arvutis ja siis korraldada oma rünnakuid sealtkaudu:
http://www.ehow.com/how_5031437_defeat-rootkit.html
http://www.cs.wright.edu/~pmateti/Courses/499/Fortification/obrien.html

Seega: Kui on RootKit võrgus, siis internetist "juhe välja" ja Local Network laiali üksikuteks arvutiteks...