Online: 0x0646 (1606)

ℹ️ Czym jest rootkit?
Laboratorium


astRX
15:16 08-01-2007
Zobacz profil
 Napisane 13 lat temu (08 stycznia 2007 o godz. 15:16:10) przez astRX
C:\WINDOWS\system32\cthkpcv.dll
Wywal to i będzie spokój.
http://www.bleepingcomputer.com/startups/cthkpcv.dll-16685.html

haker.com.pl

uakvora
20:06 17-01-2007
Zobacz profil
 Napisane 13 lat temu (16 stycznia 2007 o godz. 17:41:58) przez uakvora
A jeśli żadne narzędzie nie pomoże usunąć rootkita, mimo że wykrywają, to co zrobić?...

haker.com.pl

fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 13 lat temu (16 stycznia 2007 o godz. 20:31:44) przez fl3a
Podaję link do Anti-rootkits comparison table (http://spreadsheets.google.com/pub?key=pS_1mu_bxwKTi95gzW4hbJA), która jest świetnym pomysłem! Niestety osoby odpowiedzialne za to porównanie nie mają na tyle czasu, by w krótkim okresie uzupełnić całą tabelę. Zwróćcie uwagę na zakładkę Details, w której wypunktowane są elementy, które modyfikują rootkity. Osoby zainteresowane tematem mogą prześledzić dyskusje w dziale http://forum.sysinternals.com/forum_topics.asp?FID=18, przejrzeć ciekawe testy oprogramowania w starciu ze szkodnikami. W taki sposób można znaleźć charakterystykę oprogramowania, które nie zostało ocenione w tabeli.

Jeśli wiesz o istnieniu szkodnika, wówczas zawsze znajdzie się sposób by go usunąć! Jeśli wiesz jak zabezpieczyć system, to nie musisz się martwic wcześniejszym zagadnieniem...

haker.com.pl

uakvora
20:06 17-01-2007
Zobacz profil
 Napisane 13 lat temu (16 stycznia 2007 o godz. 21:48:00) przez uakvora
Aby się zabezpieczyć wystarczy wgrać dobrego firewalla, natomiast martwi mnie sam fakt, że w systemie mam rootkita, zapewne z keyloggerem i żadne narzędzie (GMER, Rootkit Unhooker i kilka innych) nie może go usunąć, np. GMER wiesza się lub usuwa, ale tylko na chwilę. RKU podczas usuwania resetuje komputer. Ręcznie tego chyba się nie da usunąć, przynajmniej nie na moje możliwości =]
Dlatego jeśli znalazł by się ktoś wystarczająco doświadczony i pomógł, byłbym wdzięczny.
Na forum zamieszczę logi tylko HijackThis, ponieważ logi z RKU są zbyt długie.
Logfile of HijackThis v1.99.1
Scan saved at 22:04:14, on 2007-01-16
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesSpikSpik.exe
C:Program FilesSunbelt SoftwarePersonal Firewallkpf4ss.exe
C:WINDOWSSystem32nvsvc32.exe
C:Program FilesSunbelt SoftwarePersonal Firewallkpf4gui.exe
C:Program FilesAlcohol SoftAlcohol 52StarWindStarWindService.exe
C:Program FilesSunbelt SoftwarePersonal Firewallkpf4gui.exe
C:Program FilesOperaOpera.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsvchost.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1PigwaUSTAWI~1TempRar$EX00.112HijackThis.exe

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [Spik] C:Program FilesSpikSpik.exe -autostart
O17 - HKLMSystemCCSServicesTcpip..{AB713152-D97A-48A7-8BF9-CE2EF3C7E3A9}: NameServer = 10.0.0.138,194.204.159.1
O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:Program FilesSpikurl_wpmsg.dll
O23 - Service: 842FC83B5A0DD92C - Unknown owner - C:RkUnhooker842FC83B5A0DD92C.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:WINDOWSATKKBService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:Program FilesSunbelt SoftwarePersonal Firewallkpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:Program FilesAlcohol SoftAlcohol 52StarWindStarWindService.exe

haker.com.pl

fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 13 lat temu (17 stycznia 2007 o godz. 01:33:04) przez fl3a
Gmer:
Alcohol 120% od wersji 1.9.5.3105 BetaMaster:
C:WINDOWSsystem32driversVax347b.sys
C:WINDOWSsystem32driversVax347s.sys

Czyli ten driver ok. Reszta to drivery firewalli. Podejrzany jest plik alg.exe! Po widocznych modyfikacjach można wnioskować, że jest to szkodnik! Jak widać pozory mylą:
http://www.searchengines.pl/phpbb203/lofiversion/index.php/t30971.html

HJT:
C:WINDOWSsvchost.exe
Hmm co tu dużo pisać...

Aby się zabezpieczyć wystarczy wgrać dobrego firewalla
Skąd zatem wziął się wyżej wymieniony plik? Do momentu jeśli nic nie przedostanie się z zewnątrz do Twojego systemu, jesteś bezpieczny. Zgoda firewall pod tym względem pomaga zwłaszcza w sieci LAN. Niestety jeśli coś już przedostanie się do Twojego systemu, wówczas możesz mieć kłopoty. Zapewne doskonale wiesz ile jest skutecznych metod na ominiecie firewalla lub zlikwidowanie jego filtrów! Te właśnie logi świadczące o modyfikacji adresów usług z tablicy SSDT, są filtrami stosowanymi przez programy zabezpieczające - firewalle i antywirusy. Skoro Gmer i inne programy są w stanie przywrócić oryginalne wpisy w tej tablicy, to szkodliwe oprogramowanie też może to zrobić - tylko bez pytania! A Ty jako użytkownik tylko w tym pomożesz, ponieważ otworzysz furtkę, która jest nie monitorowana! Każdy program może załadować sterownik (niezbędny do usunięcia filtrów - przywrócenia adresów w SSDT...) bez wiedzy użytkownika i programów zabezpieczających! Wystarczy, ze szkodliwy program zostanie uruchomiony z prawami Administratora! Z konta zwykłego użytkownika też można próbować dokonać takich sztuczek, ale programy zabezpieczające monitorują dostęp do sekcji devicephysicalmemory i wystosują alert jeśli jakiś proces będzie chciał odwołać się do niej. Przywracając dowolne zmiany czy to w SSDT czy inline hooking robisz to wyłącznie na czas sesji. Jeśli sterowniki oraz programy powodujące modyfikacje zostaną ponownie uruchomione wówczas logi nie ulegną zmianie.

Programy mogą mieć błędy lub wchodzić w konflikt z oprogramowaniem zabezpieczającym - normalne! Sprawdź tylko ten jeden plik. Jeśli możesz to wrzuć go gdzieś, to przyjrzymy się mu z bliska.

haker.com.pl

uakvora
20:06 17-01-2007
Zobacz profil
 Napisane 13 lat temu (17 stycznia 2007 o godz. 13:32:35) przez uakvora
Firewall i Alcohol usunięty, a wraz z Alcoholem nie ma pliku Vax348b(s).sys
svchost.exe z Windowsa mimo, że usunę, to przy ponownym uruchomieniu komputera lub po paru minutach dalej siedzi w Windowsie...

Log RKU
>SSDT State
>Processes
>Drivers
>Files
>Hooks
!!!!!!!!!!!Hook: NDIS.sys.NdisCompletePnPEvent, Type: Inline at address 0xA053D8DE hook handler located in [unknown_code_page]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

Log z HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 14:12:36, on 2007-01-17
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.ex
C:Program FilesSpikSpik.exe
C:WINDOWSSystem32nvsvc32.exe
C:Program FilesOperaOpera.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1PigwaUSTAWI~1TempRar$EX00.362HijackThis.exe

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [Spik] C:Program FilesSpikSpik.exe -autostart
O17 - HKLMSystemCCSServicesTcpip..{AB713152-D97A-48A7-8BF9-CE2EF3C7E3A9}: NameServer = 10.0.0.138,194.204.159.1
O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:Program FilesSpikurl_wpmsg.dll
O23 - Service: 842FC83B5A0DD92C - Unknown owner - C:RkUnhooker842FC83B5A0DD92C.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:WINDOWSATKKBService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:WINDOWSsvchost.exe (file missing

haker.com.pl

fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 13 lat temu (17 stycznia 2007 o godz. 19:32:25) przez fl3a
Czysto... A podejrzany plik wygląda na oryginalny - porównaj go z plikami z katalogu system32 - właściwości + notatnik.

haker.com.pl

uakvora
20:06 17-01-2007
Zobacz profil
 Napisane 13 lat temu (17 stycznia 2007 o godz. 20:06:23) przez uakvora
Hm... no nie wiem, ale zdecydowanie jeden svchost różni się od drugiego...

haker.com.pl

fidiaszPL
09:03 19-01-2007
Zobacz profil
 Napisane 13 lat temu (19 stycznia 2007 o godz. 09:03:54) przez fidiaszPL
Może ktoś sprawdzić:
Logfile of HijackThis v1.99.1
Scan saved at 10:02:08, on 2007-01-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Documents and SettingsDla wszystkichMoje dokumentyHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.eu.microsoft.com/poland/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = proxy.dialog.net.pl:8080
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Lacza
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_09binssv.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL
O4 - HKLM..Run: [kav] C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0avp.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Gadu-Gadu] C:Program FilesGadu-Gadugg.exe /tray
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_09binssv.dll
O9 - Extra Tools menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_09binssv.dll
O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra Tools menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra Tools menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168268647173
O17 - HKLMSystemCCSServicesTcpip..{9A99B480-7AB9-4CB3-B77C-BA923CBF7CF6}: NameServer = 217.30.129.149,217.30.137.200
O18 - Protocol: asp - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: ezstor - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: hsp - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: x-asp - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: x-cnote - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: x-hsp - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: x-zip - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O18 - Protocol: zip - {8D32BA61-D15B-11D4-894B-000000000000} - (no file)
O20 - Winlogon Notify: klogon - C:WINDOWSsystem32klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0avp.exe -r (file missing)
O23 - Service: DCEKE - Sysinternals - www.sysinternals.com - C:DOCUME~1MateuszUSTAWI~1TempDCEKE.exe
O23 - Service: FHJ - Sysinternals - www.sysinternals.com - C:DOCUME~1MateuszUSTAWI~1TempFHJ.exe
O23 - Service: SAZYN - Sysinternals - www.sysinternals.com - C:DOCUME~1MateuszUSTAWI~1TempSAZYN.exe
O23 - Service: VDEGJN - Sysinternals - www.sysinternals.com - C:DOCUME~1MateuszUSTAWI~1TempVDEGJN.exe
Jak chciałem zrobić log przez gmer, to wyskoczył błąd STOP 0x00000005. Dlaczego?

haker.com.pl

fl3a
13:19 19-01-2007
Zobacz profil
 Napisane 13 lat temu (19 stycznia 2007 o godz. 13:19:18) przez fl3a
U uakvora głównym sprawcą zamieszania był wirus (PE infector) jeefo.

fidiaszPL, w logach HJT ja nic podejrzanego nie widzę. Poszukaj starszej lub nowszej wersji Gmera.

haker.com.pl

© 2020 by haker.com.pl. Wszelkie prawa zastrzeżone.

Wszystkie treści umieszczone na tej witrynie są chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawartości tej witryny bez zgody autora. Wszelkie opublikowane tutaj treści (w tym kody źródłowe i inne) służą wyłącznie celom informacyjnym oraz edukacyjnym. Właściciele tej witryny nie ponoszą odpowiedzialności za ewentualne niezgodne z prawem wykorzystanie zasobów dostępnych w witrynie. Użytkownik tej witryny oświadcza, że z zamieszczonych tutaj danych korzysta na własną odpowiedzialność. Wszelkie znaki towarowe i nazwy zastrzeżone zostały użyte jedynie w celach informacyjnych i należą wyłącznie do ich prawnych właścicieli. Korzystając z zasobów witryny haker.com.pl oświadczasz, że akceptujesz powyższe warunki oraz politykę prywatności.