Olen mässanud sellega juba mitu õhtut, kuid tundub, et oma mõistusest jääb seekord väheks. Probleem sama mis selles http://torufoorum.net/viewthread.php?tid=177 teemas. Nii siis Win32/Olmarik trojan asukohaks ütleb NOD operating memory. Nod on võimetu, Spyware Doctor, Spybot ja Mbam ei tee külalisest väljagi.
Proovisin Combofixi, kuid see viskab veateate.
Combofix annab küll käivitamisel teate, et mingi Spyware Doctori protsess võib teda segada kuigi nimetatud program suletud ja taskmanagerist veel kõik muud sellega seonduvad protsessid kinni pandud. Andke nõu kuidas edasi toimida.
Nagu kombeks lisan ka logid
Lisa fail: hijackthis.log (10kB)
Seda faili on alla laaditud 618 korda
Lisa fail: AutoRuns.txt (42kB)
Seda faili on alla laaditud 641 korda
koiott - 3.1.2011 02:38
Pole ise kokku puutunud, aga LINKE kuhjaga.Kiptanui - 3.1.2011 21:06
Jah linke on küll kuhjaga, kuid selliseid faile ja protsesse nagu seal nimetatakse ma oma arvutist küll ei leia. Mõned õpetused seal pea aasta vanad ja paistab, et olmarikut vahepeal mitu korda moditud. Enamus neid nii öelda õpetusi promob Spyware Doctorit mis probleemi taustal tundub kasutu junnina. Eks ma katsetan edasi ... aga kõik tarkuseterad on teretulnd.DonQ - 3.1.2011 23:32
Aga kui nod32 kisa ära unustada, siis mis muu üldse mingist pahast märku annab? Kõik antiviirused võivad valehäireid tekitada.
Autorunsis võid maha võtta need kaks rida "Task Scheduler" osakonnas:
+ "Acrobat Update.job" "" "" "File not found: C:\DOCUME~1\kasutaja\LOCALS~1\Temp\setuper.exe"
+ "Defrag Job #00.job" "" "" "File not found: C:\DOCUME~1\kasutaja\LOCALS~1\Temp\RarSFX0\UDefrag.exe"
Ülejäänu tundub esmapilgul normaalne (ehkki mitu antiviirust/pahavaratõrjet korraga töötamas peaks masinat üsna hästi killima ja seega mina ei loe normaalseks).
Mis puutub Spyware Doctori kinnipanekusse, siis ma kahtlen, et seda saab niisama lihtsalt sulgeda - teda on seal masinas kümmekond komponenti, kaasa arvatud kerneli draiverid ja neid sa task managerist kuidagi kinni panna ei saa. Maha installimine vast aitab, aga pole kindel seegi Borderliner - 3.1.2011 23:33
Parim lahendus oleks puhtas keskkonnas kontrollimine (loe: mõnelt live-CD'lt masin üles buutida, või siis HD mõnda teise arvutisse slave'iks panna (aga mitte enne kui Winnis on igasugune autorun kinni keeratud, välistamaks võimalust et masin kus kontrollis samuti nakatatud saab... algus oleks kasvõi see kui puhastamist Safe Mode'is üritada). Kui pahalane juba mälus istub siis ongi ta avastamine/eemaldamine parajalt keeruline tegevus.
Kui puhas keskkond pole võimalik siis võib proovida Hitman Pro'd (hoia käivitades Ctrl klahvi all, siis tapab ta mälust üksjagu protsesse maha), Dr.Webi CureIt'i (üksainus EXE mis installi ei vaja) omas "tugevdatud" resiimi (kindel pole aga oletan et see on analooghe Hitmani protsessitapmisele) või kasvõi seda et HijackThisile paned suvalise nime ning tõstad ta mõnda muusse kausta (välistamaks võimalust et pahalane end tema eest peidab, hetkel HJT listis ebameeldivaid asju silma ei hakanud).
EDIT: arr, trükin oma romaani sel ajal kui DonQ märksa parema lahenduse välja pakub
Tundub et selleks korraks sain asjast jagu. Ja ausalt takkajärgi ei oskagi öelda mis proovituist see kõige õigem abimees oli. Kui kedagi puhtjuhuslikult peaks huvitama üritan sündmuste käiku taastada.
Alustuseks sai Spyware Doctor arvutist kinga, kuid combofixi töövõimet see ei parandanud. Ei aidanud ümbernimetamine ka. "T was unexpected at this time" - Mida iganes see tähendab erinevates õpetustes üritatakse sellest kõrvale hiilida kuid ei selgitatud millest see tingitud on. Muide sõber Doc'ist jäi järele StartManSvc.exe mis lohiseb protsessina kaasa ja ei ole nõus vabatahtlikult surema.
Edasi proovisin Hitman Pro'ga. Üks pahalane jälle vähem, kuid probleem püsib.
Järgmine samm Dr.Web.Cure'It avastas lõpuks arvatava kurjami. Protsess mälus: C:\WINDOWS\System32\svchost.exe:1280
BackDoor.Tdss.565
Imelikul kombel küll NOD-i "sõnumikeskus" jätkas esialgu oma tööd. Viimases hädas kordasin Safe Mode'is otsinguid. Nod, Mbam, Dr.Web. mis küll midagi ei leidnud kuid normaalreziimil uuesti käivitades oli probleem kadunud. Kadusid ka blokeerimisteated nagu selles teemas http://torufoorum.net/viewthread.php?tid=15054 kirjeldatud.
Ei tea kas Nod pidas kurjamit ekslikult Olmarikuks või üritas too end niimoodi varjata. Viiruse tõrjete logid ei näita, et arvutist kunagi oleks Olmarik eemaldatud samuti puudusid sellele iseloomulikud failid ja registri kanded. Kasuks ei tulnud ka väljalülitatud Windows Update. Ajapiku oli kogunenud 49 update/fix'i.
Tänud kodanikele DonQ, Borderliner tarkuseterade eest ja Lord Ami, kes U2U's oma abi pakkus. Lord Ami - 6.1.2011 17:54
