61
A jövő új fenyegetése: a rootkitek
  • kl24h
    #61
    A legjobb egy vírusvizsgálat egy megfelelő antivírussal és az megtalálja, ha rootkit-tel fertőződött a géped.
  • Jakuza1
    #60
    Nem feltetlenul fertozott a fajl, ha hooked van odairva.
    Sok rendszerfajl is lockolt, tehat nem art korbe nezni, hogy mit unhookolsz.
    Ha jol emlekszem volt regen olyan szoftver, hogy rootkit hook analyzer, de meg azzal se 100%-ig biztos, hogy megfelelo infot kapsz.
  • Bokafix2
    #59
    Sziasztok

    Letöltöttem egy rootkit eltávolítót és 56 elemre írja ki hogy "hooked". Ez mit jelent, hogy rootkittel fertőzött? Van olyan opció hogy unhook-olás, akkor unhook-oljam mindegyiket vagy hagyjam úgy? Azt írja mikor megerősítést kér hogy kékhalálhoz vezethet ha unhookolom. Akkor hagyjam inkább úgy? És ha az unhook-ot választom maradandó károsodást okoz a rendszerben?

  • Doomista
    #58
    Nem frissítik...Külön weblapjuk nincs, de a hivatalos oldaláról le lehet tölteni, megnéztem a definíciós adatbázisukban, innen tudom, hogy nem frissítik...Szerintem hagyd a rootkit eltávolítókat...Egy jó antivírus program elég.
  • morcosqtya
    #57
    Blacklight-ot használok (főleg). Azt nem igazán értem hogy ezek nem frissítik az adatbázisukat?? 1 éve megvan, használom, a GUI-n nyoma sincs update-lehetőségnek, viszont a rootkitek is fejlődnek, az újabbakat így hogy fogja megtalálni???
    Weblapjukon sincs erről info.
    Vki tud erről mondani valamit?
  • aphex
    #56
    köszi
  • Narxxis
    #55
    XD
  • Doomista
    #54
    mcafee rootkit detective
    panda anti rootkit
    sophos anti rootkit
    ezeket ajánlom használatra.
    itt egy lista az összes rootkit programról
  • aphex
    #53
    Milyen antirootkit szoftvert érdemes most használni? A neten nem találtam up-to-date tesztet.
  • Doomista
    #52
    brah
  • zvaragabor
    #51
    Na most ebből kofolyólag jön a kérdés, hogy a rootkitek milyen sikerességgel futnak a gépeden. :)
  • Doomista
    #50
    kiprobáltam az avast anti-rookit beta programot...elkezdet scannolni,kb 5-6 percig scannolt,aztán leállt hibaüzenettel...ujra megprobáltam ugy hogy semit nem futattam mellete etc,hibaüzenet,ez teccik :D az mcafee rootkit ami szintén nagyon jo,azmeg kék halált okoz xD szerencsétlen vagyok!
  • Doomista
    #49
    Új hír...
  • Doomista
    #48
    Rootkit Unhooker-kiprobáltam,de mikor scannolt,kék halált kaptam töle,szal nekem sajnos nem segitett :)
    Avira, F-Secure, McAfee, Panda, Trend Micro- ezek vannak csak meg pont,szal örülök hogy mégiscsak tudom mostmár hogy jo programokat használok :)) +avg,de azért kár hogy nem fejlesztik tovább...




  • zvaragabor
    #47
    Ellentmondásos rootkit-teszt.
  • zvaragabor
    #46
    Ez is egy elég érdekes cikk.
  • Doomista
    #45
    Grat.

    uj hir
  • zvaragabor
    #44
    Egyik se talált semmit.
  • Doomista
    #43
    és neked melyik talált valamit ?
  • zvaragabor
    #42
    Egy kis csokorba foglalnám a nevesebb antirootkit programokat.
    avast! Antirootkit
    Avira AntiRootkit
    AVG Anti-Rootkit(Nem fejlesztik tovább különálló programként, az IS-be integrálták.
    F-Secure Blacklight
    McAfee Rootkit Detective
    Panda Anti-Rootkit
    Rootkit Hook Analyzer
    RootkitRevealer
    Sophos Anti-Rootkit
    Trend Micro Rootkit Buster
    The Strider GhostBuster

    stb1
    stb2
  • Doomista
    #41
    Végleges Mcafee rootkit detective kiadás !
  • specialista
    #40
    Örülök hogy megoldódott.
  • zvaragabor
    #39
    Buta vagyok, első lépések egyikének be kellett volna néznem az Avira fórumára. Legelső topik erről szólt. Egy frissítés miatt jelzett hamis riasztást az Avira erre a fájlra, mindenkinek, aki avirát használ. Tegnap délután 4 után jött a frissítés, ami korrigálta ezt a hibát. Úgyhogy megnyugodtam. Specialista, azért kösz mégegyszer a segítséget.
  • zvaragabor
    #38
    Váratlan fordulat, a rootkit most nem jelentkezett a rendszer felállása után. Ugyan a következő írtási maratont mára terveztem, de még tegnap kipróbáltam ezt a programot, csak hogy lássam milyen. Kétszer is kipróbáltam, de mindkétszer félbe szakítottam, mert eszembe jutott, hogy Avirával blokkoltam a rootkitet. Mindkét alkalommal beállítottam egyénire, de elsőnek azt hiszem a Healing Methodokat is átállítottam, mindegyiket Asku User-re. Nem szólt semmit azalatt a rövid ellenőrzés alatt. Második futtatásnak a healing methodokat nem állítottam, de akkor sem szólt semmit. Utánna már nem foglalkoztam vele, mondom majd holnap nem blokkolom a rootkitet, és végigfuttatom a programot. De mivel nem riasztott az avira, így gyanús volt a dolog. Megnéztem naplóban, hogy milyen akciót halytott végre, hát csak access deny volt, semmi karantén meg törlés. Így arra gonodolok, hogy a rootkit szabadlábon volt, és a program elkaphatta. :) De akkor miért nem riasztott? Talán mert a healing methodok között nem volt rootkitre lehetőség, és akkor rootkitet automatice töröl? Mindegy, meglátom még mit csinál 1-2 restart után Avira, azt majd meglátom. Mindenesetre kösz Specialista a programot, még ha most nem is lett volna rá szükségem is jól jöhet, mert egész okos kis programnak tűnik. :)
  • zvaragabor
    #37
    erre is rákerestem, be is tettem egy két ezzel kapcsolatos fórumot a könyvjelzők közé. :) Megnézem majd amit ajánlottál mindenképpen köszi! Ha nem megy, elvégzek még egy SmitfraudFixet, ha azzal sem, akkor felteszem a kaspersky-t, ha azzal sem, akkor nagy valószínűséggel fals pozitív lesz(remélem). Csak akkor meg az aggasz, hogy miért pont most, csak úgy a semmiből jött ez??? Erre szerintem később kerül sor, most picit mennem kell.
    Üdv.
  • specialista
    #36
    Én a mchlnjDrv.sys -re keresnék rá.De kiprobálhatod Oleg Zaytsev programját:Link.
    A File/On-Line automatic update-el frissited le.Használat előtt nézd át a beállitásokat. A program használata csak tapasztalt felhasználoknak javasolt.
  • bmate0007
    #35
    az igen
  • zvaragabor
    #34
    Nah most leszek nagy(?) gondban, "Ingyenes vírus-kémprogram-irtó" témában említettemn, hogy az Avira Antivir PE Premium elcsípott egy rootkitet (RKit/Agent.GO néven fut). A Guard(rezidens védelem) riasztott erre a fájlra: C:\WINDOWS\system32\drivers\mchInjDrv.sys rögtön miután felállt a rendszer. Karanténba küldtem. Újraindítottam a gépet, megint riaszt a Guard ugyan erre a fájlra ugyan arról a helyről. Most hagyom, nincs akció, lefuttatom az a-sqared free-t(elvileg jó rootkitek ellen is), nem talál semmit. Megkeresem kézileg a fájlt, hát nincs ott. Avira szkennerét ráuszítom a könyvtárra, semmi. Bemegyek csökkentettbe, rendszervisszaállítás kikapcs, megnézem hogy ott van-e a fájl, nincs ott. Lefuttatom az avirát, nem találja. Restart normál müdba, riasztás megint jön. Lefuttatom az alábbi rootkit irtókat: Sophos, Bitdefender, AVG, F-Secure, Panda, Avira beépítettje. Egyik sem talál semmit. Hijack This sem talál semmi rosszat. Restart, riasztás, bedugom karanténba, és most itt vagyok. Még a legelső riasztás után felküldtem a fájlt a virustotal.com-ra, itt az eredmény:


    RKit/Agent.GO és Rootkit.Agent.GO név alatt érdemleges választ nem ad a Google, MiniKey Log névvel a Counter Spy oldalán van egy kis leírás, de eltávolítási segédlet nincs. Rootkit.Win32.Agent.go névvel találok a Kaspesy fórumán egy valamicske információt (ott a srácnak az első postban ugyan ez a gondja). Írják, hogy ezt a fájlt hasznos, és rosszindulatú fájlok is használják. Valamint hogy a Comodo Firewall Pro is használja (nahát én meg Comodo-t használok), meg Spyware Doctor is(ez már elég rég óta nem volt a gépen), meg még sok más védelmi termék.

    Avira naplója alapján tegnap jelentkezett először ez a jószág, tegnap nem telepítettem semmit, és még a Comodo- sem állítottam. Comodo már pár hónapja fönt van a gépen. Avira is.
    Automatikusan indulók között nincsen senki ismeretlen.
    Nah még kutakodok neten, aztán ha semmi eredmény akkor kiötlök valamit.
  • zvaragabor
    #33
    #32 Próbáltam. Nem rossz.

    Másik fórumban már írtam róla korábban de itt is megemlítem, kapcsolódik, a Cyberhawknak is van beépített anti rootkitje. Az sem tűnik rossznak, talált valamit a többi anti rootkit után. Megjegyzem nem közvetlen utánnuk futtattam le.
  • bmate0007
    #32
    Próbáltátok már az AVG Rookit-irtóját? Áll. tökjó
  • bmate0007
    #31
  • zvaragabor
    #30
    nekem zofosz talált valami gyökérséget, törölni nem tutta, így nem is foglalkozok vele. :))))
    Esetleg ha eccer csökkentettben járok, akkor lefuttatom megint.

    Bár visszatérve hogy melyik a jobb, szubjektív dolog. Kinek a pap,...
  • bmate0007
    #29
    áh nekem no rookit. panda se, mcafee se talált semmit. :)
  • zvaragabor
    #28
    Sophos, Panda, F-Secure, Avira. Az Aviráé nincs külön, csak az antivirus és internet security-be intergrálva.
  • bmate0007
    #27
    pl:mik?
  • zvaragabor
    #26
    ha talál valamit akor majd a végén, miután befejezte a keresést, akko tudod kitörölni. Amúgy sztem nincs legjobb, jobb/kevésbé jobb van. Nekem a Stinger nem jött be, túl sokáig szkennelt, az összes többi sokkal hamarabb kész volt.
  • bmate0007
    #25
    Felraktam a McAfee Stingert vagy mit. Amit mondtál azt a rookit irtót. Most scannelek. Ha talál vmit, akkor hogy kell leirtani? És ez az egyik legjobb antirookit?
  • Doomista
    #24
    McAfee,Panda. Ez a 2 a legjobb.
  • Doomista
    #23
    nah letöltöttem a legjobb rootkit irtokat.hires cégek rootki irtoját,ilyen mellékletesen progikat nem fogok,egyszer már töltöttem le,rendesen leállitotta csak ugy a gépem,és ez 2x elöfordult...
  • Doomista
    #22
    itt van még a rootki hunter,majd kirpobálom,most nem,aztán a sophos anti rootkit, és a rootkit hook analyzer. Majd végigprobálom,sophosban bizok ezek közül a legjobban ^^