Šta je novo?
Od:
Filteri

XP Se Non-stop Zatvara!

  • Začetnik teme Začetnik teme vukota
  • Datum pokretanja Datum pokretanja
vukota

vukota

Čuven
Učlanjen(a)
22.10.2003
Poruke
168
Poena
619
Spustio sam neki divlji program i napunio PC svim i svacim,pa mi XP izbaci plavi ekran na kome pise da je XP ostecen i da je glavni problem: Fizicka Memorija Okupirana.Restartujem ga i on mi i ne dozvoli da otvorim XP nego mi ponovo izbaci istu stvar.Preko Safe moda sam usao u Pandin Scan i ocistio dosta stvari,ali se sve to ponavlja i dalje.Zatim sam preko Panda Removera procesljao sve i nije nasao nista.Instalirao sam Panda Int.Sec.2007(april 2007),ali mi u safe modu ne dozvoljava da ga updejtujem.Nasao je neke sitnice,ali i dalje se ponavlja isto.

Sta da radim?
Unapred zahvalan
 
Ako si u mogućnosti, priključi tvoj hard na neki drugi kompjuter (naravno, nemoj dizati sistem s tvog diska) pa ga odatle probaj očistiti. Ako nije moguće, probaj s nekim live cd-om (hiren's boot i sl.).
 
Ne bih bas odmah reinstalirao XP dok ne probam jos nesto.
Ne mogu da priheftam HDD na drugi PC,ne znam da li je pametno da probam sa nekim drugim AV?
 
Verovatno si zapatio rootkit (ponekad je karakteristican BSOD dokaz da imas rootkit). Oni su u principu svi (ili barem vecina) jako teski za uklanjanje. :crash:
Postoji jedan problem... ako ne mozes da boot-ujes u Normal Mode, neces moci da instaliras bilo koji drugi AV posto Install Wizard ne radi u Safe mode-u.:whip:
U tom slucaju mozes da probas da skeniras sa F-secure BlackLight iz Safe mode-a (nadji download link preko Google-a), ali nisam siguran da moze da radi u Safe mode-u (valjda ne zahteva instalaciju) i da li je mocan kad je uklanjanje u pitanju.(nikad nisam probao :bottle🙂

Ako mozes da udjes u Normal Mode onda uninstaliraj trenutni AV (Panda ili bilo koji drugi), pa probaj da uklonis stetocinu sa Kaspersky AntiVirus 7 (download).
Ako si zaista zapatio rootkit (posto sam samo nagadjao) velike su sanse da ga uklonis sa KAV-om posto ima RAW Disk Scanning mogucnost (da ne objasnjavam previse 😛 ).
Preporucio bih ti da ga ovako podesis:
Da bi usao u Settings prozor klikni desnim klikom dole kod sata na KAV ikonicu pa odaberi Settings. Sa leve strane odaberi Scan, a onda sa desne strane pomeri slajder na maksimalni nivo. Nakon toga klikni na Customize, pa selektuj Heuristic analyzer karticu (jezicak ili kako vec :d ), ukljuci opciju Extended rootkit scan i ispod toga pomeri slajder za Heuristiku na Detail. Klikni OK i pod Other task settings (ispod Customize) klikni Apply pa Yes.
(sa ovim podesavanjima su vece verovatnoce da ce ga KAV ukloniti)

Posle toga odradi Update i kreni da skeniras iz Safe mode-a. Mali hint: u 99% slucajeva glavna komponenta rootkit-a (drajver u vidu *.sys fajla) ce se nalaziti u root direktorijumu diska na kome ti je instaliran Windows (C:/ime_rootkit_drajvera.sys), tako da ce ti se KAV verovatno oglasiti odmah na pocetku skeniranja.😉

Naravno, ne mora da bude rootkit u pitanju... mozda je neki konflikt izmedju drajvera/programa :trust: 🙂


Ako nista ne pomogne onda na zalost Format C: (ma koliko mrzeo ovo da preporucujem, u ovakvim slucajevima je to verovatno jedini lek 🙁 )
 
Hvala Lave na ovako iscrpnom odgovoru!
Krecem da odradjujem :smash: kako si mi napisao pa da vidimo koliko ce uspeti.Mislim da je bas to sto si napisao jer su mi na jos par stranih foruma pomenuli Rootkit,ali nisu znali sta uraditi i kako ga "opraviti" :crash:.
Hvala veliko,pa javljam da li je uspelo .

danilo989 je napisao(la):
Verovatno si zapatio rootkit (ponekad je karakteristican BSOD dokaz da imas rootkit). Oni su u principu svi (ili barem vecina) jako teski za uklanjanje. :crash:
Postoji jedan problem... ako ne mozes da boot-ujes u Normal Mode, neces moci da instaliras bilo koji drugi AV posto Install Wizard ne radi u Safe mode-u.
U tom slucaju mozes da probas da skeniras sa F-secure BlackLight iz Safe mode-a (nadji download link preko Google-a), ali nisam siguran da moze da radi u Safe mode-u (valjda ne zahteva instalaciju) i da li je mocan kad je uklanjanje u pitanju.(nikad nisam probao :bottle🙂

Ako mozes da udjes u Normal Mode onda uninstaliraj trenutni AV (Panda ili bilo koji drugi), pa probaj da uklonis stetocinu sa Kaspersky AntiVirus 7 (download).
Ako si zaista zapatio rootkit (posto sam samo nagadjao) velike su sanse da ga uklonis sa KAV-om posto ima RAW Disk Scanning mogucnost (da ne objasnjavam previse 😛 ).
Preporucio bih ti da ga ovako podesis:
Da bi usao u Settings prozor klikni desnim klikom dole kod sata na KAV ikonicu pa odaberi Settings. Sa leve strane odaberi Scan, a onda sa desne strane pomeri slajder na maksimalni nivo. Nakon toga klikni na Customize, pa selektuj Heuristic analyzer karticu (jezicak ili kako vec :d ), ukljuci opciju Extended rootkit scan i ispod toga pomeri slajder za Heuristiku na Detail. Klikni OK i pod Other task settings (ispod Customize) klikni Apply pa Yes.
(sa ovim podesavanjima su vece verovatnoce da ce ga KAV ukloniti)

Posle toga odradi Update i kreni da skeniras iz Safe mode-a. Mali hint: u 99% slucajeva glavna komponenta rootkit-a (drajver u vidu *.sys fajla) ce se nalaziti u root direktorijumu diska na kome ti je instaliran Windows (C:/ime_rootkit_drajvera.sys), tako da ce ti se KAV verovatno oglasiti odmah na pocetku skeniranja.😉

Naravno, ne mora da bude rootkit u pitanju... mozda je neki konflikt izmedju drajvera/programa :trust: 🙂


Ako nista ne pomogne onda na zalost Format C: (ma koliko mrzeo ovo da preporucujem, u ovakvim slucajevima je to verovatno jedini lek 🙁 )
Kliknite za proširenje...

Ne vredi,u Safe modu nece da mi instalira KAV.Probacu sada sa Avast Profi pa da vidimo da li on moze nesto da uradi.
 
Poslednja izmena od urednika:
vukota je napisao(la):
Ne vredi,u Safe modu nece da mi instalira KAV.Probacu sada sa Avast Profi pa da vidimo da li on moze nesto da uradi.
Kliknite za proširenje...

Nisi dobro procitao moj post. 😉

Rekao sam: "...ako ne mozes da boot-ujes u Normal Mode, neces moci da instaliras bilo koji drugi AV posto Install Wizard ne radi u Safe mode-u.
U tom slucaju mozes da probas da skeniras sa F-secure BlackLight iz Safe mode-a...".


Znaci neces moci da instaliras ni jedan AV ako ne mozes da udjes u Normal mode. 🙂
Tako da probaj sa F-secure BlackLight iz Safe mode-a (ne zahteva instalaciju koliko ja znam). :wave:

Da se nadovezem na moj predhodni post...

Probao sam F-secure BlackLight da pokrenem iz Safe mode-a (cisto da proverim) i ne radi :S: Koja glupost :smash:
I ovo sto sam rekao da ne moze AV da se instalira u Safe mode-u.... pa, neki ne mogu (oni koji koriste default Windows installer) a neki mogu.... Izvini zbog ovog. (preporucivao sam nesto sto bi u teoriji radilo, ali se nije proverilo u praksi 😀)
Ne znam da li avast! moze da se instalira posto nemam njegovu instalaciju na HD-u. Ali i da uspes da ga instaliras u Safe mode-u pitanje je koliko je dobar u uklanjanju rootkita (nisam imao priliku da ga testiram).

Jel nikako ne mozes da udjes u Normal mode?

U krajnjem slucaju mozes da poslusas Bryan Fury-a i da iskoristis LiveCD. 🙂
 
Poslednja izmena od urednika:
Instalirao sam Avast Pro i nista,sve isto.
 
Mozes da probas i sa Avira AntiVir PersonalEdition Classic (download).

Naravno, treba prvo da obrises avast! (ili bilo koji drugi instalirani AV).
(instalacija Avire radi u Safe mode-u, provereno :d )

Koristi ova podesavanja: prvo ukljuci Expert mode u glavnom prozoru podesavanja. Pod stavkom Scanner ukljuci All Files pod sekcijom Files, a sa desne strane ukljuci Scan master boot sectors, iskljuci Ignore offline files i ukljuci Rootkit search on each start (ostalo ostavi kako jeste). Onda klikni na "+" kod Scan i odaberi Action for concerning files>ukljuci Automatic, ukljuci Copy file to quarantine before action, Primary action stavi Repair a Secondary action stavi Delete. Onda odaberi Archives sa leve strane i ukljuci All archive types (desno). Pod Heuristic treba da ostane ukljucen Macrovirus heuristic i Medium detection level Win32 file heuristics.
I onda kreni na skeniranje Local Hard Disc-ova.

Postoji jedan problem, a to je koliko je nov taj rootkit i da li ga uopste neka AV kompanija detektuje sada... :S: (verovatno ce ga svi detektovati kroz par dana)

Malo sam isprobavao razlicite Anti-rootkit programe i do sada jedino Sophos Anti-rootkit delimicno radi u Safe mode-u... ali on ne radi na principu detektovanja rootkita na osnovu potpisa fajla, nego na osnovu toga da li je Hidden... a rootkit vise nije Hidden kada se udje u Safe mode (ne moze da load-uje svoj drajver).:cigar:

Jako me nervira to sto Windows installer ne moze da radi u Safe mode-u, da radi odavno bismo uklonili stetocinu...😡
 
Hvala ti puno,probacu i to pa da vidimo.Ako ne uspe ne gine mi Format C:,a kada na to pomislim jezi mi se koza.
Hvala ti jos jedanput!
 
Nod32 se instalira u SafeMode-u!
 
Moze i Nod32 da ocisti rootkit, ali Avira ipak ima bolju detekciju preko potpisa od Nod32 (i rootkita i ostalih stetocina, sto je dokazano na vise testova na net-u). Mozda bi Nod32 uspesno detektovao aktivan rootkit preko heuristike (tako sto vidi sakriven proces u memoriji), ali problem je sto rootkit vise nije aktivan u Safe mode-u tj. vise nije sakriven od Windows API-a. Zbog toga na scenu stupaju standardni potpisi za malware a ne heuristika. (u cemu je Avira bolja)

Opet ponavljam, ni jedan AV nije savrsen pa se moze desiti da Avira propusti ovaj rootkit a Nod32 ga detektuje preko potpisa, ali je veca verovatnoca da ce ga Avira detektovati. 🙂



Ako Avira nista ne detektuje mozes da probas i Nod32, na tebi je odluka. 🙂
 
Poslednja izmena:
danilo989 je napisao(la):
Moze i Nod32 da ocisti rootkit, ali Avira ipak ima bolju detekciju preko potpisa od Nod32 (i rootkita i ostalih stetocina, sto je dokazano na vise testova na net-u). Mozda bi Nod32 uspesno detektovao aktivan rootkit preko heuristike (tako sto vidi sakriven proces u memoriji), ali problem je sto rootkit vise nije aktivan u Safe mode-u tj. vise nije sakriven od Windows API-a. Zbog toga na scenu stupaju standardni potpisi za malware a ne heuristika. (u cemu je Avira bolja)

Opet ponavljam, ni jedan AV nije savrsen pa se moze desiti da Avira propusti ovaj rootkit a Nod32 ga detektuje preko potpisa, ali je veca verovatnoca da ce ga Avira detektovati. 🙂



Ako Avira nista ne detektuje mozes da probas i Nod32, na tebi je odluka. 🙂
Kliknite za proširenje...

Probao sam da instaliram Aviru u Safe modu,ali kada se instalira nece da krene sa skeniranjem,stalno daje gresku!
 
Hmm... meni normalno skenira u Safe mode-u... Kakvu gresku ti izbaci?

Mozemo i da probamo sa Last Known Good Configuration, mozda se desi cudo i uspe... :d
Znaci kada stisnes F8 pri boot-u odaberi Last Known Good Configuration umesto Safe mode-a.

Ako ne uspe ni ovo ostaje ti (ako imas zivaca 😀 ) da probas LiveCD (Hiren's boot) a ako ni to ne uspe onda Format C:...:wall: Ne znam, ponestaje mi ideja :cigar:

Jel imas neki fajl u root-u C:\ (ili gde ti je vec instaliran OS) koji ima ekstenziju .sys (system file)?

Nemogucnost ulaska u Normal mode je najvece ogranicenje u ovom slucaju. Imao si Pandu, propustila je stetocinu i dobio si gadnu infekciju, nisi vise mogao da udjes u Normal mode a samim tim nisi mogao da instaliras vecinu anti-virusa, a i da si uspeo da instaliras AV nisi mogao da ga update-ujes sto je veoma bitno; nismo mogli da iskoristimo Anti-rootkit programe zato sto oni nisu mogli da instaliraju svoj drajver (pristup kernel-u) kao ni da detektuju rootkit koji nije vise Hidden u Safe mode-u (oni pretrazuju HD samo za Hidden fajlove).

Ako hoces (valjda se neces smoriti, malo je "geek" ali moze da se razume ako se malo udubi u citanje), pogledaj sledece linkove da vidis malo detaljnije sta je rootkit, ring0 Operativnog Sistema...(da vidis da infekcija rootkitom nije bas naivna):
Rings
Rootkit Basics and techniques / Wikipedia
Rootkit hooking and detection avoiding
Rootkit patching
Hiding files
Hiding TCP/IP and rootkit detection methods

Ako ste sve ovo procitali, svaka vam cast, sad ste geek 😀 😛

Izvuci pouku iz ovoga i nemoj vise puniti PC svim i svacim. 🙂
 
Hvala svima (posebno @Danilo989) na pomoci,ali cu na kraju ipak morati da uradim format C:.Uspeo sam,kako vec rekoh,da ga nekako procistim,ali to ocigledno nije dovoljno jer radi vrlo,vrlo sporo sto nema nikakvog smisla.
Hvala svima jos jedanput!
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno