trojanski konj TR/Rootkit.L

Na računalniku imam instaliran AntiVir antivirusni program, ki mi javlja (non stop), da imam na računalniku trojanskega konja TR/Rootkit.L in nikakor ga ne morem zbrisat…
Svetujte mi kako se ga naj rešim…poskusil sem tudi z Panda software.com, pa se ga nisem rešil….

pomagajte!!!!

ja in ti seveda tudi javlja, katera datoteka je okužena??
Če ne gre drugače pa zaženi računalo v varnem zagonu, pa tam
še 1x preveri vse datoteke in jih odstrani, pa bo mir.

lp

Oprosti moji nevednosti…ampak kako zaženem rač. v varnem zagonu?

Za začetek napiši vsaj katere windows-e imaš, kateri AV program imaš
in še kakšno malenkost.

Windows 2000 profesional, AV- Antivir XP, javlja mi da je na datoteki D:\WINNT\SYSTEM32\RDRIV:SYS. Datiteko najdem in jo tudi izbrišem, pa se vedno znova pojavlja.

Zaženeš računalo v varnem načinu tako da ko ponovno zaženeš
računalo v meniju na začetku pač izbereš

Mislim da piše:

1. Windows 2000
2. Windows 2000 Safe….

(nekaj takega no..) in potem z antivirom preveriš VSE datoteke, pa ti mora
najti še kaj več kot samo eno .sys datotekeo.

lp

S tipko F8…

pozdravljeni!

prvič je to delovalo (pred cca 3 tedni) zdaj ne deluje več.
pomagajte

Probaj F1 do F12 ali pa Ctrl, Alt. Nekaj mora prijeti.

Lp, Max

meniže uspe zagnati računalnik v varnem načinu, pa tudi izbrišem datoteko, vendar pako grem na normalni zagon se ponovno pojavi.

Izklopi System Restore, opravi delo in nazaj vklopi System Restore.

Control Panel –> System –> jeziček System Restore –> kljukica pri Turn off System Restore

al imam windows 2000 in nimam jezička system restore in ne turn off restore. Sem to že iskal včeraj.

hja, se oproščam, nisem bral zgornjih postov in sem spregledal, da imaš 2000, kjer seveda ni system restora in da gre za rootkit, ki je mimo grede ena najbolj zahrbnih varjant zlonamerne kode.

Rootkite bo verjetno bolj poznal Klemenxx, saj so zadeve precej bolj razširjene na nix okoljih, počasi prihajajo pa tudi na win. V glavnem gre se za zlonamerno kodo, ki se izvaja na nivoju OSa, največkrat kot kak sistemski driver ali kaj podobnega. Ponavadi zato tudi ni viden z običajnimi orodji, npr kot proces. Poleg tega pa ima nekje skrito tudi izvorno datoteko, tak da če ga zbrišeš, se ob zagonu spet namesti na svoje mesto.

Najprej si potegni iz neta tole zadevšno in jo odzipaj (dobil boš bat datoteko).

Nato pojdi v safe mode.
V command promptu vtipkaj

sc stop rdriv

in pa

sc delete rdriv

Potem zaženi tisti bat, ki si ga prej odzipal.

V registru (regedit) poišči če imaš v ključu

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

vrednosti

rdriv in pa wscsvc

in jih pobriši.

Nato zbriši začasne internetne datoteke in še vse datoteke v obeh začasna win mapah.
Poglej še, če imaš datoteko C:\CLEARLOGS.EXE in jo tudi pobriši.

Upam, da po tem bo stvar šla v maloro (mislim na trojanca, ne na cel sistem :))

Saj misliš safe mode in command prompt?
ko napišem sc stop rdriv mi javi ‘sc’ is not recognized as an internal or external command operable program or batch file, sem probal tudi s sc delete rdriv tudi na c in d disku. Saj ne vem kaj še naj naredim. Help.

eh ja, očitno je v 2000 sc ukaz le, če imaš Windows 2000 Resource Kit.

SC za 2000 si lahko potegneš dol tule , ga odzipaš in skopiraš v windows\system32 direktorij.

Lahko pa v Administrative Tools tudi ročno poiščeš servis rdriv, ga ustaviš, nato odpreš regedit in poiščeš ključ

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

in zbrišeš cel ključ za rdriv.