Zbot

war4peace

Membru Senior
Povestea e lungă dar o scurtez eu.
Acum vreo două săptămâni văd că se creează un tichet în numele meu la lucru cum că trebuie să-mi reinstalez sistemul de operare, fiindcă laptop-ul meu a fost detectat ca fiind infectat cu Zbot. Eu nu cred asta. Am rulat tool de curăţare, n-a găsit nimic. Acasă sistemul e curat, de asemenea. Am vorbit la telefon cu nişte colegi din State care lucrează în grupul de Security şi mi-au servit nişte informaţii despre rootkits, cum că astea nu sunt detectabile, etc.

Acuma... o să reinstalez toate nebuniile pe sistemul de la lucru, dar mă întreb cum să fiu sigur că sistemul meu de acasă e curat? Am Avast Antivirus cu updates la zi, dar poate că nu e de ajuns? Să instalez un alt Windows pe un alt HDD şi să scanez totul de acolo? Ar fi şi o ocazie bună de a testa Windows 8...
 
Malwarebytes + Combofix + Autoruns (din pachetul Sysinternals Suite). Cu Autoruns vezi ce anume incarca OS la start. Te uiti in special dupa fisiere nesemnate sau care sunt lansate din locatii suspicioase.
 
Casca ochii la Kaspersky. Daca n-ai nica din ce zic ei sau utilitarul ala te scoate mai curat mai uscat atunci poti fi sigur ca n-ai zbot ala in calculator.
 
Între timp am primit nişte informaţii adiţionale de la echipa de Security. Se pare că antivirusul nostru corporate (god bless his awkward ways) a detectat ceva necurat într-un executabil vechi de tot care zăcea nefolosit într-o colecţie de aplicaţii pentru... smartphones Nokia (ceva ce am cărat de pe un HDD pe altul acum vreo 2 ani) şi s-a panicat. Faza tare e că nici nu mai pot verifica, tocmai acum vreo 2 luni mi-am făcut curat prin folder-ul cu software şi am şters toată colecţia definitiv. Interesant e că de-abia acum au reacţionat băieţii.

Anyway, m-am mai liniştit, acum o să bag un mare ascan când ajung acasă, îl las peste noapte şi vedem ce scuipă mâine.
 
Eu, dacă aş suspecta ceva şi aş fi paranoic, aş rula o vreme (asta putând însemna de la câteva ore la câteva zile) un tcpdump pe gateway, iar pe staţie nu aş porni absolut nimic care să facă trafic. După care m-aş uita să văd ce a prins (în afară de traficul spre Microsoft, update-uri de antivirus şi alte chestii legit care mai sunt pe-acolo).
 
Tool-ul de la Kaspersky zice că e totul curat.
MalwareBytes încă scanează.
ComboFix nu a raportat nimic dubios.
Autoruns - am verificat, nu sunt intrări dubioase.
 
MBAM si Combofix chiar sint grozave, pe mine m-a enervat un Sality.AT, asa ca am avut nevoie de ele recent, dupa ce Microsoft Defender Offline m-a enervat degeaba.
 
Back
Top