ℹ️ Czym jest rootkit?

🐴 haker.com.pl

🟦 fl3a
🖊️ 20:01 24-08-2006
Ponoć nie każdy wie czym są rootkity! I nic dziwnego, ponieważ media nie przywiązują wagi do kategoryzacji złośliwego oprogramowania. Począwszy od podziału na wirusy, robaki i inne pierdoły po podział na oprogramowanie user mode, które zdaniem większości specjalistów nie powinno nosić miana rootkitów. Mowa naturalnie o wszelkich aplikacjach stosujących API hooking. Skoro nikt nie dba o prawidłową kategoryzacje, to niedawno mogliśmy usłyszeć o wirusach wykorzystujących techniki rootkitów, o trojanach posiadających funkcje rootkitów i wielu innych rzeczach.

Natrafiłem na kilka ciekawych newsów. Dla mnie one są śmieszne i bezcelowe, ponieważ prawda jest zabarwiona medialna sensacja. Newsy o złośliwym oprogramowaniu to jedno, a fakt, że nikt czegoś takiego nie podsumuje fachowo to co innego. Czy zatem ludki mają znać prawdę i kpić z wynalazków odchyleńców informatycznych czy bać się ich sięgając po super zestawy obronne?

Kilka newsów:
http://www.di.com.pl/news/14591,Darmowe_narzedzie_do_walki_z_rootkitami.html
http://www.haxite.org/index.php3?site=newsy&nx1=newsy_view&id=2917
http://www.arcabit.pl/infobase.html?show=description&id=499 (Trojan.Satiloler.D)
http://www.wiruspc.pl/wykaz/details.php?virus=6923 (Rootkit.Win32.Agent.*)

Muszę bardziej poszukać materiałów, żeby nie było, że zmyślam! Na deser przedstawię fragment Rootkit.Win32.Agent.*. Czy tak powinien wyglądać rootkit (jest to niby driver...)?
.text:0001177B loc_1177B: ; CODE XREF: sub_1170E+58j
.text:0001177B push ebx
.text:0001177C mov ebx, [ebp+arg_0]
.text:0001177F push esi
.text:00011780 push edi
.text:00011781 mov ecx, eax
.text:00011783 mov edx, ecx
.text:00011785 shr ecx, 2
.text:00011788 lea esi, [ebp+var_22C]
.text:0001178E lea edi, [ebx+8]
.text:00011791 rep movsd
.text:00011793 push 4
.text:00011795 mov ecx, edx
.text:00011797 and ecx, 3
.text:0001179A rep movsb
.text:0001179C mov esi, ds:ZwQueryVolumeInformationFile
.text:000117A2 pop edi
.text:000117A3 shr eax, 1
.text:000117A5 and word ptr [ebx+eax*2+8], 0
.text:000117AB push edi ; VolumeInformationClass
.text:000117AC push 8 ; VolumeInformationLength
.text:000117AE lea eax, [ebp+var_28]
.text:000117B1 push eax ; VolumeInformation
.text:000117B2 lea eax, [ebp+IoStatusBlock]
.text:000117B5 push eax ; IoStatusBlock
.text:000117B6 push Handle ; FileHandle
.text:000117BC call esi; ZwQueryVolumeInformationFile
.text:000117BE test eax, eax
.text:000117C0 jge short loc_117CA
.text:00011518 aDosdevicesC: ; DATA XREF: sub_11538+19o
.text:00011518 unicode 0, DosDevices%c:,0
.text:00011084 aFVssvdCodebase db F:vssvdcodebase_projectsproducts_BranchesUWFX5(1.0.16.
.text:00011084 db 0)_Releasedf_kmd.pdb,0

Szukając informacji o robakach wykorzystujących rootkity - mydoom i inne znalazłem opis drivera podpiętego pod mydooma - m_hook.sys. Wykorzystuje on zwykły SSDT hooking, co widać w opisie z Gmera - http://www.gmer.net/rootkits.php?lang=pl. ZwQuerySystemInformation - hookując tą usługę zapewnia sobie niewidoczność procesu robaka. Hehe, to nawet mój marny PoC UM pokaże taki proces. :P
🟦 astRX
🖊️ 22:44 24-08-2006
Dla mniej obeznanych userów do eliminacji rootkitów polecam darmową wersję BlackLight.
http://www.f-secure.com/blacklight

Zaś dla nieco bardziej obeznanych:
http://www.sysinternals.com/Utilities/RootkitRevealer.html
(tym wykryto rootkita sony)
🟦 fl3a
🖊️ 17:51 25-08-2006
To ja dodam do kompletu:
http://www.xfocus.net/tools/200605/IceSword1.18en.rar
http://www.xfocus.net/tools/200606/darkspy105_en.rar
http://invisiblethings.org/tools/svv/svv-2.3-bin.zip
http://www.gmer.net/gmer110.zip

Naturalnie będę zachęcał do używania krajowych produktów (dwa ostatnie). ;)

Jak komuś trafi się jakiś ciekawy okaz (niechciana infekcja), to chętnie przeanalizuję go publicznie. :)
🟦 asa
🖊️ 18:38 31-12-2006
To ja mam problem z rootkitem chyba. Otóż mam takie coś w tray i co jakieś 5, 10 minut się pojawia info.
🟦 Pepi
🖊️ 23:40 31-12-2006
buuu fl3a tymi anty rootkitami psujesz mi robotę :P
🟦 fl3a
🖊️ 13:15 01-01-2007
asa, przejrzyj te tematy, a zapewne znajdziesz rozwiązanie swojego problemu...
Fałszywe tapety Pulpitu i dymki w trayu
http://www.searchengines.pl/phpbb203/index.php?showtopic=31936
Rootkit Windows Security Center
http://www.searchengines.pl/phpbb203/index.php?showtopic=47691
Pozostałe...
http://www.searchengines.pl/phpbb203/index.php?showforum=99

Jeśli będziesz miał problem z usunięciem szkodnika, to zrób logi programami:
gmer, RkU i HijackThis, a następnie wklej je tu lub podaj link do nich. W programach typu anty-rootkit najważniejszy jest log procesów oraz code hook w przypadku RkU. Jeśli będzie mógł, to zamieść gdzieś szkodnika w celu późniejszej analizy.

Pepi: to czym Ty się zajmujesz? Anti rootkit jest tylko narzędziem, które aby pokazać prawdę samo musi się bronić (sysinternals RkU vs IceSword). Jeśli zdołasz uruchomić swój kod przed uruchomieniem narzędzia jesteś panem i władcą. Krok wstecz i wspomniane narzędzia stają się bezużyteczne...
🟦 asa
🖊️ 15:46 01-01-2007
Logfile of HijackThis v1.99.1
Scan saved at 12:19:33, on 2007-01-01
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAntiVir PersonalEdition Classicsched.exe
C:Program FilesAntiVir PersonalEdition Classicavguard.exe
C:WINDOWSExplorer.EXE
C:Program FilesAntiVir PersonalEdition Classicavgnt.exe
C:Program FilesAshampooAshampoo FireWallFireWall.exe
C:Program FilesUnlockerUnlockerAssistant.exe
C:Program FilesSlySoftCloneCDCloneCDTray.exe
C:Program FilesGadu-Gadugg.exe
C:Program FilesNeostrada TPNeostradaTP.exe
C:Program FilesNeostrada TPComComp.exe
C:Program FilesNeostrada TPWatch.exe
C:Program FileseMuleemule.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wuauclt.exe
D:MojePliki sciagnietehijackthis.com

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = [url]http://search.bearshare.com/sidebar.html?src=ssb[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = [url]http://search.bearshare.com/sidebar.html?src=ssb[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = [url]http://search.bearshare.com/sidebar.html?src=ssb[/url]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [url]http://www.neostrada.pl[/url]
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = [url]http://search.bearshare.com/sidebar.html?src=ssb[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = [url]http://red.clientapps.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com[/url]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Lacza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:PROGRA~1NEOSTR~1SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:PROGRA~1FlashGetjccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:PROGRA~1FlashGetfgiebar.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:Program FilesVideo ActiveX Objectiesplugin.dll (file missing)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O4 - HKLM..Run: [avgnt] C:Program FilesAntiVir PersonalEdition Classicavgnt.exe /min
O4 - HKLM..Run: [Ashampoo FireWall] C:Program FilesAshampooAshampoo FireWallFireWall.exe -TRAY
O4 - HKLM..Run: [UnlockerAssistant] C:Program FilesUnlockerUnlockerAssistant.exe -H
O4 - HKLM..Run: [CloneCDTray] C:Program FilesSlySoftCloneCDCloneCDTray.exe /s
O4 - HKCU..Run: [ccleaner] C:Program FilesCCleanerccleaner.exe /AUTO
O4 - HKCU..Run: [Gadu-Gadu] C:Program FilesGadu-Gadugg.exe /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Sciagnij przy pomocy FlashGeta - C:Program FilesFlashGetjc_link.htm
O8 - Extra context menu item: Sciagnij wszystko przy pomocy FlashGeta - C:Program FilesFlashGetjc_all.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra Tools menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1FlashGetflashget.exe
O9 - Extra Tools menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1FlashGetflashget.exe
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O10 - Unknown file in Winsock LSP: c:program filesashampooashampoo firewallspi.dll
O17 - HKLMSystemCCSServicesTcpip..{6A474E25-49D4-459E-8E0F-CE0C35294A51}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLMSystemCS1ServicesTcpip..{6A474E25-49D4-459E-8E0F-CE0C35294A51}: NameServer = 194.204.152.34 217.98.63.164
O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - C:WINDOWSsystem32cthkpcv.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAntiVir PersonalEdition Classicsched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:Program FilesAntiVir PersonalEdition Classicavguard.exe
🟦 fl3a
🖊️ 16:04 01-01-2007
Nic podejrzanego...
🟦 TripleX
🖊️ 13:53 07-01-2007
smss.exe
http://wirusy.antivirenkit.pl/pl/opis/Net-Worm.Win32.Afire.c.html
🟦 fl3a
🖊️ 20:59 07-01-2007
C:\WINDOWS\System32\smss.exe - Windows NT Session Manager

Jesli znajdziemy pliki o nazwie z tej listy:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
w katalogu innym niż System32, to wówczas mamy do czynienia ze szkodnikiem!

W Windows 2000 zamiast katalogu WINDOWS mamy katalog o nazwie WINNT reszta jest bez zmian!

Tu można znaleźć inne programy typu AntiRootkit:
http://www.antirootkit.com/software/index.htm.
Jednak program programowi nierówny! Możliwe, że wkrótce powstanie zestawienie porównujące Anti-Rootkity w starciu ze znanymi rootkitami...

WINDOWS ROOTKITS FREE COUNTERMEASURES Part 1: Introduction to Rootkits
http://kareldjag.over-blog.com/5-archive-12-2005.html
🟦 astRX
🖊️ 15:16 08-01-2007
C:\WINDOWS\system32\cthkpcv.dll
Wywal to i będzie spokój.
http://www.bleepingcomputer.com/startups/cthkpcv.dll-16685.html
🟦 uakvora
🖊️ 17:41 16-01-2007
A jeśli żadne narzędzie nie pomoże usunąć rootkita, mimo że wykrywają, to co zrobić?...
🟦 fl3a
🖊️ 20:31 16-01-2007
Podaję link do Anti-rootkits comparison table (http://spreadsheets.google.com/pub?key=pS_1mu_bxwKTi95gzW4hbJA), która jest świetnym pomysłem! Niestety osoby odpowiedzialne za to porównanie nie mają na tyle czasu, by w krótkim okresie uzupełnić całą tabelę. Zwróćcie uwagę na zakładkę Details, w której wypunktowane są elementy, które modyfikują rootkity. Osoby zainteresowane tematem mogą prześledzić dyskusje w dziale http://forum.sysinternals.com/forum_topics.asp?FID=18, przejrzeć ciekawe testy oprogramowania w starciu ze szkodnikami. W taki sposób można znaleźć charakterystykę oprogramowania, które nie zostało ocenione w tabeli.

Jeśli wiesz o istnieniu szkodnika, wówczas zawsze znajdzie się sposób by go usunąć! Jeśli wiesz jak zabezpieczyć system, to nie musisz się martwic wcześniejszym zagadnieniem...
🟦 uakvora
🖊️ 21:48 16-01-2007
Aby się zabezpieczyć wystarczy wgrać dobrego firewalla, natomiast martwi mnie sam fakt, że w systemie mam rootkita, zapewne z keyloggerem i żadne narzędzie (GMER, Rootkit Unhooker i kilka innych) nie może go usunąć, np. GMER wiesza się lub usuwa, ale tylko na chwilę. RKU podczas usuwania resetuje komputer. Ręcznie tego chyba się nie da usunąć, przynajmniej nie na moje możliwości =]
Dlatego jeśli znalazł by się ktoś wystarczająco doświadczony i pomógł, byłbym wdzięczny.
Na forum zamieszczę logi tylko HijackThis, ponieważ logi z RKU są zbyt długie.
Logfile of HijackThis v1.99.1
Scan saved at 22:04:14, on 2007-01-16
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesSpikSpik.exe
C:Program FilesSunbelt SoftwarePersonal Firewallkpf4ss.exe
C:WINDOWSSystem32nvsvc32.exe
C:Program FilesSunbelt SoftwarePersonal Firewallkpf4gui.exe
C:Program FilesAlcohol SoftAlcohol 52StarWindStarWindService.exe
C:Program FilesSunbelt SoftwarePersonal Firewallkpf4gui.exe
C:Program FilesOperaOpera.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsvchost.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1PigwaUSTAWI~1TempRar$EX00.112HijackThis.exe

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [Spik] C:Program FilesSpikSpik.exe -autostart
O17 - HKLMSystemCCSServicesTcpip..{AB713152-D97A-48A7-8BF9-CE2EF3C7E3A9}: NameServer = 10.0.0.138,194.204.159.1
O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:Program FilesSpikurl_wpmsg.dll
O23 - Service: 842FC83B5A0DD92C - Unknown owner - C:RkUnhooker842FC83B5A0DD92C.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:WINDOWSATKKBService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:Program FilesSunbelt SoftwarePersonal Firewallkpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:Program FilesAlcohol SoftAlcohol 52StarWindStarWindService.exe
🟦 fl3a
🖊️ 01:33 17-01-2007
Gmer:
Alcohol 120% od wersji 1.9.5.3105 BetaMaster:
C:WINDOWSsystem32driversVax347b.sys
C:WINDOWSsystem32driversVax347s.sys

Czyli ten driver ok. Reszta to drivery firewalli. Podejrzany jest plik alg.exe! Po widocznych modyfikacjach można wnioskować, że jest to szkodnik! Jak widać pozory mylą:
http://www.searchengines.pl/phpbb203/lofiversion/index.php/t30971.html

HJT:
C:WINDOWSsvchost.exe
Hmm co tu dużo pisać...

Aby się zabezpieczyć wystarczy wgrać dobrego firewalla
Skąd zatem wziął się wyżej wymieniony plik? Do momentu jeśli nic nie przedostanie się z zewnątrz do Twojego systemu, jesteś bezpieczny. Zgoda firewall pod tym względem pomaga zwłaszcza w sieci LAN. Niestety jeśli coś już przedostanie się do Twojego systemu, wówczas możesz mieć kłopoty. Zapewne doskonale wiesz ile jest skutecznych metod na ominiecie firewalla lub zlikwidowanie jego filtrów! Te właśnie logi świadczące o modyfikacji adresów usług z tablicy SSDT, są filtrami stosowanymi przez programy zabezpieczające - firewalle i antywirusy. Skoro Gmer i inne programy są w stanie przywrócić oryginalne wpisy w tej tablicy, to szkodliwe oprogramowanie też może to zrobić - tylko bez pytania! A Ty jako użytkownik tylko w tym pomożesz, ponieważ otworzysz furtkę, która jest nie monitorowana! Każdy program może załadować sterownik (niezbędny do usunięcia filtrów - przywrócenia adresów w SSDT...) bez wiedzy użytkownika i programów zabezpieczających! Wystarczy, ze szkodliwy program zostanie uruchomiony z prawami Administratora! Z konta zwykłego użytkownika też można próbować dokonać takich sztuczek, ale programy zabezpieczające monitorują dostęp do sekcji devicephysicalmemory i wystosują alert jeśli jakiś proces będzie chciał odwołać się do niej. Przywracając dowolne zmiany czy to w SSDT czy inline hooking robisz to wyłącznie na czas sesji. Jeśli sterowniki oraz programy powodujące modyfikacje zostaną ponownie uruchomione wówczas logi nie ulegną zmianie.

Programy mogą mieć błędy lub wchodzić w konflikt z oprogramowaniem zabezpieczającym - normalne! Sprawdź tylko ten jeden plik. Jeśli możesz to wrzuć go gdzieś, to przyjrzymy się mu z bliska.
🟦 uakvora
🖊️ 13:32 17-01-2007
Firewall i Alcohol usunięty, a wraz z Alcoholem nie ma pliku Vax348b(s).sys
svchost.exe z Windowsa mimo, że usunę, to przy ponownym uruchomieniu komputera lub po paru minutach dalej siedzi w Windowsie...

Log RKU
>SSDT State
>Processes
>Drivers
>Files
>Hooks
!!!!!!!!!!!Hook: NDIS.sys.NdisCompletePnPEvent, Type: Inline at address 0xA053D8DE hook handler located in [unknown_code_page]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

Log z HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 14:12:36, on 2007-01-17
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.ex
C:Program FilesSpikSpik.exe
C:WINDOWSSystem32nvsvc32.exe
C:Program FilesOperaOpera.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1PigwaUSTAWI~1TempRar$EX00.362HijackThis.exe

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [Spik] C:Program FilesSpikSpik.exe -autostart
O17 - HKLMSystemCCSServicesTcpip..{AB713152-D97A-48A7-8BF9-CE2EF3C7E3A9}: NameServer = 10.0.0.138,194.204.159.1
O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:Program FilesSpikurl_wpmsg.dll
O23 - Service: 842FC83B5A0DD92C - Unknown owner - C:RkUnhooker842FC83B5A0DD92C.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:WINDOWSATKKBService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:WINDOWSsvchost.exe (file missing
🟦 fl3a
🖊️ 19:32 17-01-2007
Czysto... A podejrzany plik wygląda na oryginalny - porównaj go z plikami z katalogu system32 - właściwości + notatnik.
🟦 uakvora
🖊️ 20:06 17-01-2007
Hm... no nie wiem, ale zdecydowanie jeden svchost różni się od drugiego...
🟦 fidiaszPL
🖊️ 09:03 19-01-2007
Może ktoś sprawdzić:
Logfile of HijackThis v1.99.1
Scan saved at 10:02:08, on 2007-01-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Documents and SettingsDla wszystkichMoje dokumentyHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.eu.microsoft.com/poland/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = proxy.dialog.net.pl:8080
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Lacza
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_09binssv.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O4 - HKLM..Run: [kav] C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0avp.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Gadu-Gadu] C:Program FilesGadu-Gadugg.exe /tray
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_09binssv.dll
O9 - Extra Tools menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_09binssv.dll
O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra Tools menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra Tools menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168268647173
O17 - HKLMSystemCCSServicesTcpip..{9A99B480-7AB9-4CB3-B77C-BA923CBF7CF6}: NameServer = 217.30.129.149,217.30.137.200
O18 - Protocol: asp - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: ezstor - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: hsp - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: x-asp - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: x-cnote - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: x-hsp - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: x-zip - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: zip - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O20 - Winlogon Notify: klogon - C:WINDOWSsystem32klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0avp.exe -r (file missing)
O23 - Service: DCEKE - Sysinternals - www.sysinternals.com - C:DOCUME~1MateuszUSTAWI~1TempDCEKE.exe
O23 - Service: FHJ - Sysinternals - www.sysinternals.com - C:DOCUME~1MateuszUSTAWI~1TempFHJ.exe
O23 - Service: SAZYN - Sysinternals - www.sysinternals.com - C:DOCUME~1MateuszUSTAWI~1TempSAZYN.exe
O23 - Service: VDEGJN - Sysinternals - www.sysinternals.com - C:DOCUME~1MateuszUSTAWI~1TempVDEGJN.exe
Jak chciałem zrobić log przez gmer, to wyskoczył błąd STOP 0x00000005. Dlaczego?
🟦 fl3a
🖊️ 13:19 19-01-2007
U uakvora głównym sprawcą zamieszania był wirus (PE infector) jeefo.

fidiaszPL, w logach HJT ja nic podejrzanego nie widzę. Poszukaj starszej lub nowszej wersji Gmera.
Wszystkie treści umieszczone na tej witrynie są chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawartości tej witryny bez zgody autora. Wszelkie opublikowane tutaj treści (w tym kody źródłowe i inne) służą wyłącznie celom informacyjnym oraz edukacyjnym. Właściciele tej witryny nie ponoszą odpowiedzialności za ewentualne niezgodne z prawem wykorzystanie zasobów dostępnych w witrynie. Użytkownik tej witryny oświadcza, że z zamieszczonych tutaj danych korzysta na własną odpowiedzialność. Wszelkie znaki towarowe i nazwy zastrzeżone zostały użyte jedynie w celach informacyjnych i należą wyłącznie do ich prawnych właścicieli. Korzystając z zasobów witryny haker.com.pl oświadczasz, że akceptujesz powyższe warunki oraz politykę prywatności.