NOD(ESET) detektuje ako Win32/Olmasco.
Pozor. Tento postup nie je možne použiť na notebooku, kde je šifrovaný zavádzací zväzok pomocou utility safeboot.
Safeboot používa predovšetkým Hawlet Packard.Môže sa ale nachádzať aj v iných notebookoch, kam výrobca alebo sám používateľ nainštaluje utilitu od McAfee - Endpoint Encryption.
Riešenie nepoznám.
Analýza najnovšej verzie rootkita TDL ukazuje, že jeho súčasti vrátane ovládača v režime jadra i ovládača používateľského režimu boli od základov prepísané. Vyplýva to zo zistení analytikov spoločnosti ESET.
Riešenie nepoznám.
Analýza najnovšej verzie rootkita TDL ukazuje, že jeho súčasti vrátane ovládača v režime jadra i ovládača používateľského režimu boli od základov prepísané. Vyplýva to zo zistení analytikov spoločnosti ESET.
To znamená ak máte notebook / pc infikovaný Rootkitom TDL.tj.Win32/Sirefef, Win32/Olmarik, atď. je pravdepodobné že máte na disku aj skrytý oddiel, ktorý vytvoril Rootkit a ak tento oddiel neodstránite, tak sa infekcia obnoví.
Rootkit na disku vytvára vlastný skrytý oddiel, particiu, veľkosť oddielu je pár megabajtov a nastaví ju ako aktívnu, kód MBR zostáva nedotknutá. Tak zaistí vykonanie svojho kódu ešte pred štartom operačného systému.
Tento oddiel je vybavený pokročilým súborovým systémom, ktorý kontroluje integritu jednotlivých komponentov.Kým sa neodstráni skrytá aktívna particia, nedoporučujem použiť príkazy, fixmbr, fixboot, bootrec /fixmbr, bootrec /fixboot. Prípadná oprava MBR sectoru bude mať za následok, že počítač sa nepodarí spustiť.
Ak z nevedomosti alebo z akéhokoľvek dôvodu spustíte tieto príkazy, potom môžete vidieť chyby ako chýbajúci operačný systém, neplatná tabuľka oddielov, alebo chyba pri načítaní operačného systému.
Aby ste mali predstavu, že ako to funguje, tak len veľmi stručne.
MBR je prvý sektor na pevnom disku, z ktorého sa spúšťa počítač. Hlavný spúšťací záznam obsahuje tabuľku oddielu a hlavní spúšťači kód.
MBR uchováva záznamy o rozdelení disku (oddieloch) a určuje, z ktorého z nich sa má bootovať.
Ak je MBR v poriadku, konanie sa odovzdá Partition Loaderu. Ten v Partition tabuľke vyhľadá oddiel, ktorý je označený ako aktívny a prejde na prvý sektor tohto oddielu.
Úloha VBR (Volume Boot Record) je závislá na konkrétnom operačnom systéme, najskôr kontroluje sám seba (rovnaký mechanizmus ako u MBR) a potom vyhľadá sektor, na ktorom sa nachádza prvý zo súborov operačného systému, obyčajne sa mu hovorí zavádzač, vo Windows je to súbor NTLDR.
Na infikovanom PC systém bootuje v poradí, MBR je načítaný a vykonaný, infikovaný VBR skrytý oddiel vytvorené Rootkitom je načítaný a vykonaný, boot je načítaný a vykonaný, pôvodná aktívna oblasť VBR je načítaná a vykonaná, Bootmgr je načítaný a vykonaný.Toto umožňuje Rootkitu, získať kontrolu nad operačným systémom.
Podrobne informácie nájdete TU.
Možne Symptómy.
1: Pri štarte OS,počujete divne zvuky,hudbu.
2: Odpojovanie od internetu.
3: Zhoršenie výkonu systému.
4: Presmerovanie stránok.
5: Na 64b win,Môže spôsobiť BSOD[Modru smrť.]
6: Vypínanie počítača.
Nástroje potrebné pre opravu.
Pokiaľ je možné tieto kroky robte na čistom / neinfikovanom počítači.
1: Stiahnite si a vypálte gparted-live-0.11.0-2.iso (119.4 MB)
2: Pre Win7 32-64 bites,a Vistu stiahnuť a vypáliť Recovery disk
3: Pre XP, pripravte inštalačnú disketu.
4: Malwarebytes.
5: TDSS Killer.
6: WebCureit.
Zistíme, či máme počítač infikovaný s týmto nebezpečným Rootkitom.
1. Spustiť príkazový riadok ako správca:
2. Stlačte klávesy Win+R
3. Zadajte príkaz cmd.
4. Podržte kláves Shift+Ctrl a stlačte Enter.
5. Do čierneho okna skopírujte tento príkaz.
%windir%\system32\wbem\wmic.exe partition get name,bootable,size,type > "%userprofile%\plocha\disk.txt"
Poznámka.
Ak máte windows v anglickom jazyku, miesto plocha, napíšte desktop,"%userprofile%\Desktop\disk.txt"
Alebo vytvorte dávkový súbor bat.
Spustiť Poznámkový blok cez Štart - Programy - Príslušenstvo a skopírujte do neho celý tento text:@ECHO OFF
ECHO script created by: www.viruskasino.com
%windir%\SYSTEM32\WBEM\wmic.exe diskdrive get name,size,model>>log.txt
%windir%\SYSTEM32\WBEM\wmic.exe partition get name, bootable,size,type >>log.txt
del %0
Zvoľte možnosť Súbor,uložiť súbor ako, pomenujte súbor napríklad disk.bat a zvoľte Uložiť ako typ Všetky súbory. ECHO script created by: www.viruskasino.com
%windir%\SYSTEM32\WBEM\wmic.exe diskdrive get name,size,model>>log.txt
%windir%\SYSTEM32\WBEM\wmic.exe partition get name, bootable,size,type >>log.txt
del %0
Uložte súbor na plochu a spustíte ho - po chvíli sa vedľa neho vytvorí textový súbor log.txt.
6: Na ploche sa vytvorí textový súbor disk.txt,log.txt
7: Otvorte textový súbor disk.txt,log.txt.
8: Uvidíte približne toto.
9: Vás výpis môže byt odlišný ,záleží že koľko diskov a oddielov máte.
Bootable Name Size Type
Disk č. 0, oddíl č. 0 41940670464 Installable File System
Disk č. 0, oddíl č. 1 38074821120 Extended w/Extended Int 13
TRUE Disk č. 0, oddíl č. 2 1000000 Unknown
Disk č. 0, oddíl č. 0 41940670464 Installable File System
Disk č. 0, oddíl č. 1 38074821120 Extended w/Extended Int 13
TRUE Disk č. 0, oddíl č. 2 1000000 Unknown
1: Ako vidno z výpisu v našom príklade je v počítači 1-disk=Disk č. 0
2: Máme 3-oddiely,
a.)oddíl č. 0 41940670464 Installable FileSystem.
Systémový disk.
b.)oddíl č. 1 38074821120 Extended w/Extended Int 13.
Rozšírená oblasť
c.) oddíl č. 2 1000000 Unknown.
1MB oddiel vytvorené Rootkitom, a nastavené na Bootovaci
Bootable=TRUE Disk č. 0, oddíl č. 2 1000000 Unknown,
Znamená, že tento malý 1MB oddiel je neznámy a nastavený Rookitom ako Bootovaci.
Poznámka:
Medzi všetkými primárne oddiely na pevnom disku,Iba jeden primárny oddiel môže byť nastavená ako aktívny Bootable.
Odstránenie.
Tu platí 3x meraj a raz rež.
1: Musíme odstrániť túto infikovaných oblastí aj keď to obvykle funguje bez problémov, tento Rootkit sa neustále vyvíja a môže nás prekvapiť.
A tak pre istotu, je potrebné zálohovať dáta na externý, vymeniteľný disk alebo na iný počítač.
2: Vypnúť obnovu systému.
3. Do mechaniky vložíme gparted-live cd, Reštartujme pc.
4: V Biose nastavíme Boot z CD, a nabootujeme sa na gparted-live cd.
5: Na uvítacej obrazovke stlačte Enter.
6.Klávesová mapa je zvýraznená. Nechajte toto nastavenie tak a stlačte kláves ENTER.
7.Vyberte jazyk a stlačte ENTER. Angličtina je východiskovým [33]
8.Na výzvu,opäť, stlačte kláves ENTER.
9.Teraz budete presmerovaný na hlavnú obrazovku.
10.Podľa výpisu, oddiel, ktorý chceme odstrániť, ma 1 MB .
11.Neodstraňujte žiadne z ďalších väčších oddielov.
12.Označte oddiel, ktorý vytvoril Rootkit
13.Kliknite na ikonu koša odstrániť a potom kliknite na tlačidlo Použiť.
14.Teraz by ste mali vidieť tabuľku pre potvrdenie, zmazať oddiel, kliknite na Použiť, Apply,ok.
Nastavíme systémový disk na Bootovací.
1:Pravým tlačidlom myši klikneme na systémový disk,a v menu vyberte Spravovať Vlajky(Manage Flags)
2.V ponuke, ktorá sa objaví,začiarknite boot, ako je na obrázku.
3.2x kliknite a červený gombík exit.
Opravíme Bootovanie.
1:Vyberte Gparted liveCD.
2:Vložte pre Win7 Recovery disk.
3.Pre Vistu Recovery disk.
4.Pre xp Inštalačný disk.
Oprava Vista,Win7.
1. Win7, a Vista nabootujeme na Recovery disk a použijeme príkazový riadok.
2.Zadáme príkazy.
Bootrec /Fixmbr
Bootrec /fixboot
exit
Oprava Bootovanie XP.
1:Použijeme konzolu pre zotavenie.
2:A zadáme príkazy
Fixmbr
fixboot
exit.
Teraz už počítač nabootuje do windows.
1:Spustíme Malwarebytes, úplná kontrola nájdene infekcie odstrániť.
2:Spustíme TDSS Killer.
3:Použijeme WebCureit.
6.Defragmentujme pevný disk.
7.Zapneme obnovu systému.
Veľa šťastia!!!
