Trojan στα xp...

[gerorg]

Καλησπέρα παιδιά....
Μια ερώτηση....
Κάποιο παιδί εχθές στο γραφείο που εργάζομαι και καταπιάνεται με τα pc μου έβαλε το AVG 8.5 να ψάξει από το safe mode σε όλοκληρο τον δίσκο των xp για να σβήσει το trojan γιατί του είχα πει ότι δεν έσβηνε από το scan που έκανα στην κανονική λειτουργία του pc...
Το έβαλε λοιπόν να ψάχνει και μου είπε μάλιστα ότι θα καθυστερήσει φεύγοντας...Παρατήρησα όμως ότι στο scan που έκανε σε safe mode και απεικονίζοντας την οθόνη του dos (μου, είπε ότι σκανάρει σε dos), είδα ότι κάποια άρχεια τα έβλεπε κλειδωμένα και έλεγε ότι δεν μπορούσε να τα τεστάρει...Τελειώντας το scan πήγα πάλι σε κανονική λειτουργία και μου εμφανίζει πάλι το AVG το trojan...Δείγμα ότι δεν μπορεί να το σβήσει προφανώς....
Γνωρίζει κάποιος φίλος τι κάνω...?
Σας ευχαριστώ για τον χρόνο σας....

[medigeek]

Υπάρχει avg για linux (.deb):
http://free.avg.com/download?prd=afl

Δεν το δοκίμασα να σου πω την αλήθεια, νομίζω ότι μπορείς να το εγκαταστήσεις σε 32-bit Ubuntu/Debian. Θα πρέπει να είναι οκ και σε Live CD.
Από εκεί και πέρα απλά κάνεις mount το δίσκο με το windows(;)

[Epirotes]

Καλό είναι το AVG για linux, το είχα στην 8.10 και θα το ξαναβάλω κάποια στιγμή -αχρείαστο να'ναι. Το ζήτημα όμως είναι αν είναι πράγματι Δούρειος Ίππος ή αν είναι λάθος διάγνωση του AVG. Χρησιμοποιώ το ΑVG για πάρα πολλά χρόνια, αλλά τώρα τελευταία βγάζει κάπου και που λάθος διαγνώσεις, συνήθως ως trojan, αρχεία που δεν είναι διόλου μολυσμένα. Για παράδειγμα, μου έβγαζε ένα αρχείο του Nero, μέχρι που το έστειλα για ανάλυση κι αφού επέμεινα στην σχετική αλληγραφία ότι το σφάλμα είναι του AVG κι όχι του δικό μου, το διόρθωσαν. Έχει επίσης αναφερθεί ότι βγάζει αρχεία από παιχνίδια ως ιούς ή trojan ή πιο πρόσφατα απλά ως malware. Συνήθως πρόκειται είτε για αρχεία που έχουν σχέση με την αντιπειρατική προστασία του λογισμικού (π.χ. Securom, το οποίο όντως συμπεριφέρεται ως rootkit) είτε για αρχεία που έχουν σχέση με την επικοινωνία του λογισμικού με την κατασκευάστρια εταιρεία στο παρασκήνιο.

[simosx]

Καλό είναι το AVG για linux, το είχα στην 8.10 και θα το ξαναβάλω κάποια στιγμή -αχρείαστο να'ναι. Το ζήτημα όμως είναι αν είναι πράγματι Δούρειος Ίππος ή αν είναι λάθος διάγνωση του AVG. Χρησιμοποιώ το ΑVG για πάρα πολλά χρόνια, αλλά τώρα τελευταία βγάζει κάπου και που λάθος διαγνώσεις, συνήθως ως trojan, αρχεία που δεν είναι διόλου μολυσμένα. Για παράδειγμα, μου έβγαζε ένα αρχείο του Nero, μέχρι που το έστειλα για ανάλυση κι αφού επέμεινα στην σχετική αλληγραφία ότι το σφάλμα είναι του AVG κι όχι του δικό μου, το διόρθωσαν. Έχει επίσης αναφερθεί ότι βγάζει αρχεία από παιχνίδια ως ιούς ή trojan ή πιο πρόσφατα απλά ως malware. Συνήθως πρόκειται είτε για αρχεία που έχουν σχέση με την αντιπειρατική προστασία του λογισμικού (π.χ. Securom, το οποίο όντως συμπεριφέρεται ως rootkit) είτε για αρχεία που έχουν σχέση με την επικοινωνία του λογισμικού με την κατασκευάστρια εταιρεία στο παρασκήνιο.

Το ζήτημα είναι ότι, αν ένας ιός, δούρειος ίππος, rootkit κτλ έχουν μολύνει ήδη τον υπολογιστή σου, τότε δε μπορείς με σιγουριά να πεις ότι το antivirus που τρέχει μέσα από το ίδιο το λειτουργικό είναι σε θέση να εντοπίσει τον ιό.
Αν κάνεις όμως την ανίχνευση για ιό από τρίτο λειτουργικό σύστημα, τότε γνωρίζεις ότι ο πιθανός ιός δεν είναι σε εκτέλεση, και μπορείς να είσαι σίγουρος ότι αν υπάρχει μόλυνση, θα βρεθεί.

Υπάρχει και το ζήτημα για false positive, όπου το πρόγραμμα κατά λάθος εκλαμβάνει ένα αρχείο για ιό.

Ωστόσο, ως φόρουμ, αυτό που μπορούμε να προτείνουμε (και έχει προταθεί παραπάνω) είναι το ζήτημα της ανίχνευσης μέσα από Linux πάνω στην προβληματική κατάτμηση με XP, καθώς το XP δεν είναι σε εκτέλεση. Υπάρχουν μια σειρά από τρόποι (π.χ. εγκατάσταση σε USB).

[gerorg]

Δηλαδή αν κατάλαβα καλά στον δίσκο που περιέχει τα xp και που εκεί βρίσκεται το trojan να τον σκανάρω από άλλο αντιβάιρους που δουλεύει σε linux έτσι ώστε να βρεί το trojan και να το σβήσει...?

Να ρωτήρω ρε παιδιά όμως κάτι με τις λίγες γνώσεις που έχω...?
Αν αυτό το πρόγραμμα (trojan) είναι έτσι προγραμματισμένο ώστε όταν καταλαβαίνει ότι δέχεται σκανάρισμα να κλειδώνεται και να μην μπορεί να ανιχνευτεί, τότε με όποιο πιθανόν αντιβάιρους το σκανάρο δεν θα καταφέρω τίποτα...Έτσι δεν είναι...?
Γ΄αυτό λέω..μήπως θα χρειαστεί format τελικά....?
Σας ευχαριστώ πάντως για την μέριμνα σας...

[tolis_01]

Δηλαδή αν κατάλαβα καλά στον δίσκο που περιέχει τα xp και που εκεί βρίσκεται το trojan να τον σκανάρω από άλλο αντιβάιρους που δουλεύει σε linux έτσι ώστε να βρεί το trojan και να το σβήσει...?

Να ρωτήρω ρε παιδιά όμως κάτι με τις λίγες γνώσεις που έχω...?
Αν αυτό το πρόγραμμα (trojan) είναι έτσι προγραμματισμένο ώστε όταν καταλαβαίνει ότι δέχεται σκανάρισμα να κλειδώνεται και να μην μπορεί να ανιχνευτεί, τότε με όποιο πιθανόν αντιβάιρους το σκανάρο δεν θα καταφέρω τίποτα...Έτσι δεν είναι...?
Γ΄αυτό λέω..μήπως θα χρειαστεί format τελικά....?
Σας ευχαριστώ πάντως για την μέριμνα σας...

Αν θες μπες σε κανένα από αυτά τα πονηρά sites (όχι τα γνωστά, του άλλου είδους ) και κατέβασε κανα kaspersky ή nod32 που υποτίθεται ότι είναι τα καλύτερα (ή νόμιμα κάποια trial version τους αν βρεις).

[medigeek]

Αν αυτό το πρόγραμμα (trojan) είναι έτσι προγραμματισμένο ώστε όταν καταλαβαίνει ότι δέχεται σκανάρισμα να κλειδώνεται και να μην μπορεί να ανιχνευτεί, τότε με όποιο πιθανόν αντιβάιρους το σκανάρο δεν θα καταφέρω τίποτα...Έτσι δεν είναι...?

Στο Windows όταν τρέχει το πρόγραμμα δε μπορείς να σβήσεις το αρχείο .exe που το τρέχει. Στο Linux μπορείς να σβήσεις το αρχείο ακόμη κι όταν τρέχει, εκτός κι αν 1) δεν έχεις τα απαραίτητα δικαιώματα (permissions) ή 2) έχει το immutable bit ενεργοποιημένο (είναι μόνο για Linux αυτό).

Από την άλλη, εαν έχεις ένα Live CD θα μπορέσεις να κάνεις ό,τι θες αν το trojan βρίσκεται σαν αρχείο κάπου.

Δύο εισηγήσεις λοιπόν με το linux avg που ανέφερα πιο πάνω:
- Δοκίμασε από το Ubuntu που έχεις, εγκατέστησε το antivirus και τρέξε το.
- Boot-αρε από Live CD, εγκατέστησε το antivirus και τρέξε το.

[simosx]

Δηλαδή αν κατάλαβα καλά στον δίσκο που περιέχει τα xp και που εκεί βρίσκεται το trojan να τον σκανάρω από άλλο αντιβάιρους που δουλεύει σε linux έτσι ώστε να βρεί το trojan και να το σβήσει...?

Όταν κάνεις την ανίχνευση με antivirus που τρέχει σε Linux, πρέπει στο σύστημά σου να τρέχεις Linux (είτε εγκατεστημένο σε ξεχωριστή κατάτμηση, είτε από USB stick, κτλ). Και όταν τρέχεις Linux, τότε δε τρέχει XP οπότε ο υποτιθέμενος ιός σίγουρα δεν είναι σε λειτουργία.

Να ρωτήρω ρε παιδιά όμως κάτι με τις λίγες γνώσεις που έχω...?
Αν αυτό το πρόγραμμα (trojan) είναι έτσι προγραμματισμένο ώστε όταν καταλαβαίνει ότι δέχεται σκανάρισμα να κλειδώνεται και να μην μπορεί να ανιχνευτεί, τότε με όποιο πιθανόν αντιβάιρους το σκανάρο δεν θα καταφέρω τίποτα...Έτσι δεν είναι...?
Γ΄αυτό λέω..μήπως θα χρειαστεί format τελικά....?
Σας ευχαριστώ πάντως για την μέριμνα σας...

Όταν εκτελείται Linux στον υπολογιστή, τότε δεν είναι σε εκτέλεση κανένα πρόγραμμα από το XP, ούτε το πιθανό trojan horse.

[gerorg]

Σας ευχαριστώ ρε παιδιά....Είστε οκ....
Κατάλαβα τι πρέπει να κάνω....
Ωστόσο είναι λίγο δύσκολο στο γραφείο να το επιχειρήσω αυτό με άλλο λειτουργικό π.χ linux, οπότε πάμε στην περίπτωση με το live cd...
Σας ευχαριστώ και πάλι....

[ftso]

Εγώ έχω φτιάξει ένα remastering του ubuntu με avg, avast, clamav και δυνατότητα εγκατάστασης της διανομής για τέτοιες δουλειές.
Trojans, virus, windows σας έρχομαι...