Гледам, че горе се е обадил колега с Free версията на Avira. Моята е Pro. Разлики не би трябвало да има и все пак се вижда, че резултатите при сканирането на един и същ файл са различни.

Гледам и че времето при него е по-кратко, може би е настроена да не сканира дълбоко, или са зададени определен тип изключения? При мен Pro е с настройки по подразбиране, почти не съм пипал по тях, освен някои настройки за папки и дължина / големина / дни за пазене на логовете. Просто ми е интересно...

ПП. Гледам, че AVG горе брои инфекциите два пъти - веднъж архива, и втори път - съдържанието му. Макар че бройката едва ли означава нещо при сравняване на две различни програми.

Аз съм с Premium и също лови 14 гадини

днес опитах да сваля същия архив но този път аваст реагира веднага,а вчера не реагираше.

Гледам, че горе се е обадил колега с Free версията на Avira. Моята е Pro. Разлики не би трябвало да има и все пак се вижда, че резултатите при сканирането на един и същ файл са различни.

Гледам и че времето при него е по-кратко, може би е настроена да не сканира дълбоко, или са зададени определен тип изключения? При мен Pro е с настройки по подразбиране, почти не съм пипал по тях, освен някои настройки за папки и дължина / големина / дни за пазене на логовете. Просто ми е интересно...

ПП. Гледам, че AVG горе брои инфекциите два пъти - веднъж архива, и втори път - съдържанието му. Макар че бройката едва ли означава нещо при сравняване на две различни програми.

Разликата може да идва от това, че безплатната Авира няма антиспай. При мен a-squared Anti-Malware намира и адуер в архива.

едит - всъщност адуера е само един останалите са троянци

Редактирано 20 септември 200817 г. от delig (преглед на промените)

29 файла 13 заразени явно и другите са,но не ги разпознава Symantec 10

Това откри Norton antivirus 2009 в един приятел

Гледам, че горе се е обадил колега с Free версията на Avira. Моята е Pro. Разлики не би трябвало да има и все пак се вижда, че резултатите при сканирането на един и същ файл са различни.

Гледам и че времето при него е по-кратко, може би е настроена да не сканира дълбоко, или са зададени определен тип изключения? При мен Pro е с настройки по подразбиране, почти не съм пипал по тях, освен някои настройки за папки и дължина / големина / дни за пазене на логовете. Просто ми е интересно...

ПП. Гледам, че AVG горе брои инфекциите два пъти - веднъж архива, и втори път - съдържанието му. Макар че бройката едва ли означава нещо при сравняване на две различни програми.

@Wankata Настройките са ми на макс. За скоростта може би зависи и от хардуерната конфигурация. (Не че моята е свръх мощна, но бива).

А иначе просто FREE версията не лови шпионски софтуер (както спомена и delig) и няма някои екстри. Това се отразява на резултатите и в теста:

http://www.free-av.com/en/download/1/downl..._antivirus.html

@Fixer - съгласен съм с nologo. Според това какъв е rootkit-a и колко се е внедрил, може да се премахне само чрез пълен формат, даже за по-сигурно изтриване на дяла и повторното му създаване. Но да попаднеш на такава инфекция не става лесно, защото са целенасочени...Иначе с "по-лесните rootkits" могат да се справят GMER и Rootkit Unhooker, IceSword, DarkSpy...

Това някой тества ли го ?

http://www.kaldata.com/forums/index.php?s=...t&p=1071511

Редактирано 20 септември 200817 г. от B-boy[StyLe] (преглед на промените)

Това е важно уточнение - колко се е внедрил и какъв точно е. Ако беше споменал това Nologo щях да се съглася с него.

@Fixer - съгласен съм с nologo. Според това какъв е rootkit-a и колко се е внедрил, може да се премахне само чрез пълен формат, даже за по-сигурно изтриване на дяла и повторното му създаване.

Не мога да се съглася ИЗОБЩО . Всъщност , премахването на rootkit е много по-лесно отколкото откриването . Да ти напомня (защото съм сигурен , че го знаеш) , че rootkit-ът гледа да се скрие от Windows , но в среда извън Windows може много лесно да бъде премахнат . Относно rookit-и , които атакуват Master Boot записите , те също могат да бъде отстранени . Вече е въпрос на съвършенство да можеш да открие скрит от Windows API файл - премахването е елементарно .

Редактирано 20 септември 200817 г. от lgada (преглед на промените)

Това някой тества ли го ?

http://www.kaldata.com/forums/index.php?s=...t&p=1071511

Да, още при download-а засече:

Да, още при download-а засече:

На картинката ти пише "Detected on open" , което означава , че файла вече е записан на диска и че не е засечен при download , а при опит за достъп

А това е резултата от онлайн скенера на Касперски:

скан репорта:

Редактирано 20 септември 200817 г. от delig (преглед на промените)

Не мога да се съглася ИЗОБЩО . Всъщност , премахването на rootkit е много по-лесно отколкото откриването . Да ти напомня (защото съм сигурен , че го знаеш) , че rootkit-ът гледа да се скрие от Windows , но в среда извън Windows може много лесно да бъде премахнат . Относно rookit-и , които атакуват Master Boot записите , те също могат да бъде отстранени . Вече е въпрос на съвършенство да можеш да открие скрит от Windows API файл - премахването е елементарно .

Да благодаря за напомнянето, но това не важи в повечето случаи за :

#8: Virtual rootkitsVirtual rootkits are a fairly new and innovative approach. The virtual rootkit acts like a software implementation of hardware sets in a manner similar to that used by VMware. This technology has elicited a great deal of apprehension, as virtual rootkits are almost invisible. The Blue Pill is one example of this type of rootkit. To the best of my knowledge, researchers haven’t found virtual rootkits in the wild. Ironically, this is because virtual rootkits are complex and other types are working so well.

http://blogs.techrepublic.com.com/10things/?p=416

100% неоткриваем rootkit



Специалистът по сигурността Йоана Рутковска създаде прототип на rootkit, който остава 100% неоткриваем дори и под 64-битовата версия на Windows Vista. Наречен Blue Pill, rootkitът се възползва от виртуализационната технология Pacifica на AMD, за да създаде тънък слой между процесора и операционната система, който напълно да контролира работата на Windows.


Vista ще представи прототипа на конференциите SyScan на 21 юли в Сингапур и Black Hat на 3 август. Във второто събитие ще участват и Microsoft, които ще представят новите защити на Windows Vista. Рутковска ще демонстрира инжектиране на код в ядрото на Windows Vista Beta 2 (64 битова версия) без използването на какъвто и да е бъг в имплементацията. Техниката заобикаля представената от Microsoft anti-rootkit технология на Vista, изискваща цифров подпис на кода, зареждащ се в ядрото.


Идеята за rootkit чрез виртуализация не е нова. Такъв е разработен от Microsoft под името SubVirt.

http://expert.idg.bg/?call=USE~expertb;&am...&msgid=1149

http://notrial.info/news/it/2005.html

Има още примери по въпроса...Затова казах, важно е какъв тип rootkit се е внедрил и какви изменения e направил в О.С. Естествено, че няма неоткриваеми неща.Всичко зависи от степента им на разпространение.Всичко е въпрос на време...Препоръчва се против rootkits да се активира и DEP, ако процесора разбира се поддържа тази технология.

Редактирано 20 септември 200817 г. от B-boy[StyLe] (преглед на промените)

Не искам това , което ще кажа да изглежда арогантно , но май не си прочел добре написаното от мен .

Всъщност , премахването на rootkit е много по-лесно отколкото откриването

Има още примери по въпроса...Препоръчва се против rootkits да се активира и DEP, ако процесора разбира се поддържа тази технология.

Няма нужда , защото отново даваш пример за откриване , а НЕ за ПРЕМАХВАНЕ . Аз не говоря за откриване и това дали е трудно , а успорвам казаното от теб , че премахването на rootkit било трудно . Все още държа на написаното от мен :

Вече е въпрос на съвършенство да можеш да открие скрит от Windows API файл - премахването е елементарно .

DEP е включена по подразбиране

Редактирано 20 септември 200817 г. от lgada (преглед на промените)

.......................

Все още държа на написаното от мен :

........................

Ако имаш предвид откриване и отстраняване на рууткит, скрит от Windows API, може и да си прав за себе си. Дръж колкото си искаш на мнението си, но не виждам да си дал някакъв аргумент.

Виж съобщение 770 от тази тема. Не вярвам да си опитал нещо от там, макар да съм дал само демота и половинчати хакерски тулчета.

Направи ли ти впечатление, че B-boy[styLe] спомена за рууткит във връзка с ядрото на ОС? Аз писах преди, че пълното премахване на рууткит и последствията от хакерската атака не е лесно, даже понякога е невъзможно. Имам предвид точно връзката с ядрото на ОС. Даже потърпевшата операционна система не винаги може да Windows, явно не си съвсем наясно...

Редактирано 20 септември 200817 г. от nologo (преглед на промените)

http://www.2shared.com/file/3543199/424d4fd/sample_virus.html

Резултат

фото 1

фото 2

Проверка на вирусы: завершено 20.9.2008 г. 17:03:20 (событий: 28, объектов: 52, время: 00:00:01)

19.9.2008 г. 15:37:23 Задача завершена

19.9.2008 г. 15:35:24 Задача запущена

Проверка на вирусы: завершено 20.9.2008 г. 17:03:20 (событий: 28, объектов: 52, время: 00:00:01)

19.9.2008 г. 16:10:46 Задача завершена

19.9.2008 г. 16:08:31 Задача запущена

Проверка на вирусы: завершено 20.9.2008 г. 17:03:20 (событий: 28, объектов: 52, время: 00:00:01)

19.9.2008 г. 16:19:43 Задача завершена

19.9.2008 г. 16:19:17 Задача запущена

Проверка на вирусы: завершено 20.9.2008 г. 17:03:20 (событий: 28, объектов: 52, время: 00:00:01)

20.9.2008 г. 17:03:19 Задача запущена

20.9.2008 г. 17:03:19 Обнаружено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\3ekor dalam program file.rar/tmp0.exe/PE_Patch.PECompact/PecBundle/PECompact

20.9.2008 г. 17:03:19 Удалено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\3ekor dalam program file.rar/tmp0.exe

20.9.2008 г. 17:03:19 Обнаружено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\3ekor dalam program file.rar/tmp1.exe/PE_Patch.PECompact/PecBundle/PECompact

20.9.2008 г. 17:03:19 Удалено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\3ekor dalam program file.rar/tmp1.exe

20.9.2008 г. 17:03:19 Обнаружено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\3ekor dalam program file.rar/tmp2.exe/PE_Patch.PECompact/PecBundle/PECompact

20.9.2008 г. 17:03:19 Удалено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\3ekor dalam program file.rar/tmp2.exe

20.9.2008 г. 17:03:19 Обнаружено: not-a-virus:AdWare.Win32.E404.ep C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\734914.rar/734914\734914.dll/PE_Patch.UPX/UPX

20.9.2008 г. 17:03:19 Удалено: not-a-virus:AdWare.Win32.E404.ep C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\734914.rar/734914\734914.dll

20.9.2008 г. 17:03:20 Обнаружено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\antiviirus.rar/antiviirus.exe/PE_Patch.PECompact/PecBundle/PECompact

20.9.2008 г. 17:03:20 Удалено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\antiviirus.rar/antiviirus.exe

20.9.2008 г. 17:03:20 Обнаружено: Trojan.Win32.Vapsup.hog C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\axrfgvek.rar/axrfgvek.dll

20.9.2008 г. 17:03:20 Удалено: Trojan.Win32.Vapsup.hog C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\axrfgvek.rar/axrfgvek.dll

20.9.2008 г. 17:03:20 Обнаружено: Trojan.Win32.Vapsup.hro C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\eqbx.rar/eqbx.exe

20.9.2008 г. 17:03:20 Удалено: Trojan.Win32.Vapsup.hro C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\eqbx.rar/eqbx.exe

20.9.2008 г. 17:03:20 Обнаружено: Trojan.Win32.Vapsup.hrp C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\kgqfweltgnr.rar/kgqfweltgnr.dll

20.9.2008 г. 17:03:20 Удалено: Trojan.Win32.Vapsup.hrp C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\kgqfweltgnr.rar/kgqfweltgnr.dll

20.9.2008 г. 17:03:20 Обнаружено: Trojan.Win32.Vapsup.hrm C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\mrvtdpqe.rar/mrvtdpqe.exe

20.9.2008 г. 17:03:20 Удалено: Trojan.Win32.Vapsup.hrm C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\mrvtdpqe.rar/mrvtdpqe.exe

20.9.2008 г. 17:03:20 Обнаружено: Trojan.Win32.Vapsup.hof C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\okmdepgb.rar/okmdepgb.dll

20.9.2008 г. 17:03:20 Удалено: Trojan.Win32.Vapsup.hof C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\okmdepgb.rar/okmdepgb.dll

20.9.2008 г. 17:03:20 Обнаружено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\Program Files.rar/tmp2.exe/PE_Patch.PECompact/PecBundle/PECompact

20.9.2008 г. 17:03:20 Удалено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\Program Files.rar/tmp2.exe

20.9.2008 г. 17:03:20 Обнаружено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\Program Files.rar/tmp0.exe/PE_Patch.PECompact/PecBundle/PECompact

20.9.2008 г. 17:03:20 Удалено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\Program Files.rar/tmp0.exe

20.9.2008 г. 17:03:20 Обнаружено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\Program Files.rar/tmp1.exe/PE_Patch.PECompact/PecBundle/PECompact

20.9.2008 г. 17:03:20 Удалено: Trojan-Downloader.Win32.Agent.vfs C:\Documents and Settings\АДМИНИСТРАТОР\My Documents\Downloads\Архивы\sample virus.rar/sample virus\Program Files.rar/tmp1.exe

20.9.2008 г. 17:03:20 Задача завершена

Какво ли означава "излекувани" - снимка

@lgada прав си, не съм прочел внимателно поста ти, макар че как ще премахнеш нещо, което не виждаш и незнаеш, че съществува.Единственото успокоение, е че виртуални руткитове не са често срещано явление в Интернет и причините за това са, че сложността им на създаване се равнява на написването на цяла Операционна Система. Това не е по силите на всеки...

Въведение

Рууткит-овете са софтуеър, който се използва от хакерите, за да скрият следите си. Той също може да съдържа инструменти за придобиване на руут права или за кражба/изтриване на файлове от системата. Друга цел на рууткит-а е да осигури постоянен достъп на хакера до пробитата система. Рууткит-ове съществуват за много различни операционни системи, но тук ще засегнем само тези за Линукс.

Видове рууткит-ове

Най-простият и лесен за откриване рууткит е този на ниво потребител. Той може да подменя потребителски програми със свои собствени. Те се откриват лесно, понеже можете да разчитате на ядрото, то не е засегнато. Чрез сканиране със софтуеър, който открива променени програми ( чрез сравняване на MD5 хашове ), като AIDE или Tripwire, лесно могат да се засекат подобни рууткит-ове. По-трудни за откриване са рууткит-овете на ниво ядро. Трудни са и за премахване, понеже вече не може да разчитата на ядрото като средство за премахване, то е "заразено". Подобни рууткит-ове могат да изтриват системните логове, за да скрият следите и пораженията в/у системата, дори да променят системни повиквания. Най-често подобен род рууткит-ове се инсталират като модули към ядрото ( Linux Kernel Module (LKM) ), Пример за такива са Afhrm и Synapsis.

Техники, използвани от рууткит-овете

Използвайки LKM, рууткит може да модифицира таблицата на системните повиквания ( syscall table). Така той може да накара дадено повикване да стартира програма от рууткит-а. Друга техника е изтриване на логовете, за да се скрие активността на рууткит-а в системата. Много често рууткит-а модифицира бинарни файлове, като ps например. Подобен модифициран ps не показва процесите, стартирани от рууткит-а.

Откриване и премахване на рууткит

Проблем при откриването на сериозните рууткит-ове се явява това, че не можете да се доверите на ядрото и операционната система, понеже те са модифицирани. Така, че инсталирането на софтуеър за детектване се явява леко безсмислено. По-добрият вариант е използването на снифер за да проследите трафика през машината ви и евентуално да откриете трафика, генериран от рууткит-а. Използването на логовете не винаги помага, понеже рууткит-а може да е изтрил следите от активността си в/у системата. Друг начин за засичане на рууткит е зареждането на live cd. Това ви помага да използвате ядрото на live дистрибуцията за засичане на рууткит-а в/у заразената машина. Съществуват програми, които се опитват да заселат рууткит-а локално, тоест не се нуждаят от инсталация, като chkrootkit например, но те са зависими от ps, и ако той е модифициран, ефекта ще е нулев. Възможно е и обратното, рууткит-а да засече детектващата програма и да я промени. Затова е наложително тези програми да се намират в/у read-only носители. В повечете случаи при засичане на рууткит 100%-товото му премахване от системата е малко вероятно. Затова експертите препоръчват при пробив в системата да се форматира и инсталира наново. Ако се използва бекъп за възстановяване на системата, важно е да се уверите че до него е нямало достъп по-време на пробива и той не съдържа вреден код. Съществува софтуеър, който засича и премахва рууткит-ове, като Rkdetector v2.0 , но това е толкова трудно, че е почти невъзможно, защото самият рууткит е проектиран да бъде трудно засечен и премахнат.

Предотвратяване и мониторинг

Най-добрият начин да защитите системата си от рууткит-ове е да предотвратите тяхното инсталиране. Това може да стане като не позволите достъп до администраторският акаунт. Без root достъп хакер не може да скрие следите си чрез рууткит. За мониторинг на системата се използва техника за сравнение, която открива промени по системата. Идеята е да се направи кодиран запис на системата след чиста инсталация и след инсталиране на нова програма. Така след време ако се направи нов запис на системата и се сравни със стария, може да се разбере променено ли е нещо по нея. Софтуеър с такива функции е Tripwire. който използва хаш функции и запазва информацията в защитена с парола база данни. Той следи за промени по файловете и алармира при промяна, така че потребителят може да види дали рууткит е променил файла или нещо друго. Въпреки всичко, за да се предпазите от рууткит-ове е необходимо да спазвате добра хигиена относно сигурността, а именно firewall, стабилни пароли, рестриктивни права за достъп и т.н.

Източник: GGbit.info

@nologо също е прав. Премахването на гадинката може да стане за сметка на адекватното поведение на О.С. Не се знае какви ще са "остатъчните щети"...Аз също обичам да изкоренявам докрай дадени бацили и преинсталирането е последното нещо, което правя (ако нямам друг избор), но понякога е наложително преминаването към свежа О.С.

Още информация:

http://pcworld.bg/?call=USE~home;&page...n=3235&pn=1

http://pcworld.bg/?call=USE~home;&page...n=3227&pn=5

http://bg.wikipedia.org/wiki/Rootkit

http://www.kaldata.com/forums/index.php?s=...st&p=744159

Редактирано 20 септември 200817 г. от B-boy[StyLe] (преглед на промените)

"Критиките обаче...искам да ги видя НЕ писано и преписвано." Nikssi, какво и от кого да преписвам ? Ето ти нещо различно - изтеглих обновената преди няколко дни Kaspersky Key Finder V1.4.3 - против правилата е да посочвам линк . Проверих файла по 5 начина - чист - изненадан съм ! И пак за всеки случай го унищожих - защото едва ли е чист - после ще се задейства "скрита заложба". Зная - можеш да направиш същото - най-добре е човек сам да се убеди. Мога да докажа мненията си - но не желая да изглежда отстрани като антиреклама на руската програма - тя също има свои предимства. Поздрави

http://www.virustotal.com/analisis/32857b8...2d8858833a8d58f

Fixer, точно такова е естественото развитие - доволен съм. Благодаря. Поздрави.

Вчера, след като прочетох коментара ти, реших да ти покажа, че веднага ще излезе нещо и помолих mihnev_sz (много му благодаря за услугата) да го изпрати до Kaspersky, аз го изпратих до ESET, но днес е нямало обновление, за да видим резултатите. Това са временни резултати, предполагам.

Това е важно уточнение - колко се е внедрил и какъв точно е. Ако беше споменал това Nologo щях да се съглася с него.

Fixer, много уважавам мненията ти. Наистина има доста неуточнени неща в случая и ако не съм бил достатъчно ясен - моля да ме извиниш. Реагирах малко остро. Имам доста опит в борбата с рууткитовете, затова...

По повод на нашия спор - вчера TNN беше открил рууткит. Не мисля, че това може да се пренебрегне с лека ръка. Рууткитът е само една следа, не е съвсем точно изразена заплаха, а инструмент на хакерите. Ако TNN използва администраторски акаунт - това е повод за сериозна заплаха от нова хакерска атака, даже да е използвал всичките анти-не-знам-какви-си защитни програми и скенери, да е "почистил" рууткита, да е доволен от себе си и т.н.

Ако имаш предвид откриване и отстраняване на рууткит, скрит от Windows API, може и да си прав за себе си.

Да , поне за себе си , прав съм

Не вярвам да си опитал нещо от там, макар да съм дал само демота и половинчати хакерски тулчета.

Не , не съм . А трябва ли ?

Аз писах преди, че пълното премахване на рууткит и последствията от хакерската атака не е лесно, даже понякога е невъзможно.

Напълно съм съгласен . Защото съвременните заплахи са създадени с цел кражба на информация и последствията от тях са свързани с перманента загуба на данни . Дори и да се елиминира дадена заплаха , никога не можеш да си върнеш откраднатите данни .

Даже потърпевшата операционна система не винаги може да Windows, явно не си съвсем наясно...

Запознат съм , просто така се изразих . Пък и основателно , все пак Microsoft е монополист при операционните системи.

Fixer, много уважавам мненията ти. Наистина има доста неуточнени неща в случая и ако не съм бил достатъчно ясен - моля да ме извиниш. Реагирах малко остро. Имам доста опит в борбата с рууткитовете, затова...

По повод на нашия спор - вчера TNN беше открил рууткит. Не мисля, че това може да се пренебрегне с лека ръка. Рууткитът е само една следа, не е съвсем точно изразена заплаха, а инструмент на хакерите. Ако TNN използва администраторски акаунт - това е повод за сериозна заплаха от нова хакерска атака, даже да е използвал всичките анти-не-знам-какви-си защитни програми и скенери, да е "почистил" рууткита, да е доволен от себе си и т.н.

Fixer, много уважавам мненията ти.

Аз също уважавам мненията ти.

Наистина има доста неуточнени неща в случая и ако не съм бил достатъчно ясен - моля да ме извиниш. Реагирах малко остро. Имам доста опит в борбата с рууткитовете, затова...

Не се притеснявай. Личният опит е важен.

вчера TNN беше открил рууткит. Не мисля, че това може да се пренебрегне с лека ръка. Рууткитът е само една следа, не е съвсем точно изразена заплаха, а инструмент на хакерите. Ако TNN използва администраторски акаунт - това е повод за сериозна заплаха от нова хакерска атака, даже да е използвал всичките анти-не-знам-какви-си защитни програми и скенери, да е "почистил" рууткита, да е доволен от себе си и т.н.

Това е голям напредък. Така е, инструмент, който е много важен за успеха на една атака. Определено, могат да бъдат нанесени големи щети и след заразяване иска много сериозна проверка, с различни инструменти и други нелеки процедури. Всъщност за мен лично би било много интересно, затова бих направил детайлна проверка за следи, но преинсталирането също е вариант, макар и доста краен според мен, от гледна точка на моите виждания.

Използвам постоянно администраторски акаунт - заради цел към преки констатации . Не съм имал предвид да съм доволен от себе си - често допускам грешки ! А за естественото развитие е радващо да има и други с подобно мислене като моето - резултатите си идват на място. Поздрави

Вчера, след като прочетох коментара ти, реших да ти покажа, че веднага ще излезе нещо и помолих mihnev_sz (много му благодаря за услугата) да го изпрати до Kaspersky, аз го изпратих до ESET, но днес е нямало обновление, за да видим резултатите. Това са временни резултати, предполагам.

Пратен е отдавна лично от мене.Както и още една заморозка на ....няма да споменавам автора.

Може и да си пращал, но снощи преди да ги пратим, го пуснахме за анализ, никой нищо не откриваше, така че чисто mihnev_sz е откривателя