http://www.symantec.com/security_response/writeup.jsp?docid=2007-051414-5932-99&tabid=3
Ali ocigledno kod mene nije taj slucaj. KOd mene je nekakva varijacija koju maltene nista neprepoznaje.
ZA full suite nista ne nalazi. NOD isto tako nista ne nalazi... dakle vjerovatno je najbolje rijesenje format i ponovna instalacija.
Naravno prije sam uvijek pokusao da rucno uklonim virus/worm, nekad uspjesno a nekad ne.
Prije kad god mi donesu masinu na servis, uvijek sam radio sljedece:
1. safe mode
2. Gasenje sistem restore
3. Brisanje Prefetch foldera
4. Brisanje autoruna
5. Brzi pregled windows direktorija za sumnjivim *.exe
Ako bi virus/worm prezivio, onda koristim Sysinternals alate. Nadjem koji je proces, ukinem ga i onda obrisem. Ako suu pitanju buddy procesi, onda ga samo suspend i onda ukinem jednog po jednog.
Nakon toga nadjem gdje su fizicki locirani te ih obrisem. dalje trazim sa autostart mjesta odakle se bestija pokrece i ukinem ga i tu. Nekada se desi da mi je brze instalirati windows nanovo nego gubiti vrijeme trazeci nacin da uklonim virus.
U zadnje vrijeme sam primjetio da mi alat od Sysinternals zvani procexp vise ne pomaze. Zadnji slucaj je gore navedeni worm.
Koji je nevidljiv u procesima. Kod pokretanja procexp-a, proces koji uvijek ima drugo ime se pokrene, i odmah ugasi. Jednostavno je nevidljiv za procexp. Ali taj proces je POKRENUT, jer prilikom kucanja MSCONFIG masina se sama odmah gasi.
Safe mode ne pomaze, kao da masina uopste nije u safe mode.
Da li postoji bolji alat od procexp, ili je kod mene rootkit u pitanju?
[IMG]http://img233.imageshack.us/img233/5078/thumbnailte1.th.jpg[/IMG]
They say I look like daddy :D