Trojany Rootkit- co to jest? usuwanie

[Riddick1]

Mam problem, mam w kompie 4 kootkity, sprawdzałem programem i mają one swoją lokalizacje:
c:windowssystem32imm32.dll
c:windowssystem32usp10.dll
c:windowssystem32lpk.dll
c:windowssystem32msvcrt.dll

I w programie pisało obok ostatniej scieżki:

SEE SO BE HOOK.

Może mi ktoś pomóc jak usunąć te rootkity, nie usuwająć systemu????

Prosze o pomoc, z góry dzięki.

 

[..ClaRoX..]

Na to ja Ci proponuję w takiej kolejności próbować:
• usunąć je programem KillBox
• właczyć kompa w trybie awaryjnym
• jest też dla Windowsa wersja LiveCD. Jest to okrojona wersja systemu Windows która chodzi z płyty. Do jej tworzenia potrzebny jest progam PE Builder. Jest ona taka fajna, że oprócz systemu można wgrać na płytkę inne programy (np. GG, Pandę, Ad-aware, Nero, WinAmpa itp.)

Do utworzenia LiveCD potrzebna jest płyta instalacyjna z WinXP (ale to chyba już nie problem). Wynikiem pracy PE Builder powstanie obraz bootowalnej płyty CD. Nagrywasz go sobie i używasz

 

[ehacker]

Originally posted by ..::ClaRoX::..
Na to ja Ci proponuję w takiej kolejności próbować:
• usunąć je programem KillBox
• właczyć kompa w trybie awaryjnym
• jest też dla Windowsa wersja LiveCD. Jest to okrojona wersja systemu Windows która chodzi z płyty. Do jej tworzenia potrzebny jest progam PE Builder. Jest ona taka fajna, że oprócz systemu można wgrać na płytkę inne programy (np. GG, Pandę, Ad-aware, Nero, WinAmpa itp.)

Do utworzenia LiveCD potrzebna jest płyta instalacyjna z WinXP (ale to chyba już nie problem). Wynikiem pracy PE Builder powstanie obraz bootowalnej płyty CD. Nagrywasz go sobie i używasz

Jednak całkowicie rootkitów nie usuniesz.

 

[fl3a]

Dlaczego?

 

[Riddick1]

No właśnie dlaczego niemożna ich usunąć całkowicie, i czy można jakoś zapobiegać by ich więcej nie mieć na kompie, i czy są jakieś może inne metody usunięcia rootkitów.

 

[..ClaRoX..]

Może tak - jak działa rootkit?
Jest to narzędzie wykorzystywane do ukrywania plików i procesów. Jeżeli jest to dobry "model" może nawet całkowicie ukryć w systemie trojana, czy jakieś inne świństwo

Najbardziej zaawansowane rootkity działają na poziomie jądra systemowego przez co skutecznie ukrywają określone pliki. Korzystają z funkcji interfejsu aplikacji (API) Windows, aby uzyskać informacje o plikach na dysku i działających procesach

Funkcje jądra systemu podmienione przez rootkit zwracają listy plików lub procesów niezawierających oczywiście żadnego wirusa. Ten właśnie mechanizm chroni przed wyświetlaniem wirów użytkownikowi i nawet AV :|

Jak wykryć rootkit?
• porównuje się rejestr z informacjami zapisanymi w plikach, w których przechowywany jest tenże rejestr. Sprawdzana jest także lista plików wyświetlana przez Windows i porównywana z zawartością systemu plików. Rootkit może spowodować bowiem, że Windows nie będzie pokazywał wirów, ale będą one odnotowane wśród informacji o danych na partycji. Takiego sprawdzenia możesz dokonać za pomocą programu RootkitRevealer. Skanuje on rejestr i dysk, a potem wyświetla podejrzane wpisy. Ty sam już musisz zdecydować, czy określony wpis jest rootkitem, czy nie, ponieważ RootkitRevealer podaje dużo wpisów, które wcale rootkitami nie są :mrgreen:
• druga metoda polega na porównaniu plików na dysku Twojego komputera z oryginalnymi plikami z płyty instalacyjnej Windy

Jednym z takich programów jest StriderGhostBuster

Jak zapobiegać?
W ten sam sposób co chronisz się przed trojanami czy keyloggerami. Nie ma chyba jakiś dodatkowych działań ochronnych

Bo jeżeli żadne świństwo nie zainstaluje Ci się na kompie to przecież rootkit też nie może.

Jak usunąć?
Tak jak Ci napisałem w poprzednim poście, choć nie masz pewności, że się uda. generalnie z tego co mi wiadomo jedyną skuteczną metodą jest reinstalacja Windowsa. Ale wiesz, zawsze możesz próbować

A na przyszłość radzę po instalacji świerzego Windowsa zainstalować aplikacje, które najczęściej używasz, bo tego jakieś aktualizacje i zrobić obraz dysku programem NortonGhost :mrgreen: Potem w krótkim czasie na nowo przywrócisz sprawną Windę.

 

[fl3a]

Po czesci to co tu wkleiles (napisales) jest prawda... Ale tylko po czesci. Nalezy wspomniec ze wyroznia sie dwa rozdzaje rootkitow (choc te drugie nie powinny sie tak nazywac!) - rootkity kernelmode i userland. Obydwa typy umozliwiaja ukrycie w systemie stosujac rozne metody o ktorych mozna przeczytac w ksiazce promowanej na stronie www.rootkit.com. Mimo ze radza sobie one dobrze z ukrywaniem swoich modulow to z poziomu dosa sa bezbronne. Poniewaz nie chroni ich ani API hooking (userland) ani funkcje na poziomie ring0 gdyz sterownik umozliwiajacy ich wywolanie nie zostal zaladowany. Troche kiepsko to tlumacze ale... Format to najglupsze posuniecie! O i jeszcze wazna uwaga rootkity nie sluza do ukrywania innych plikow! Sa to nazedzia umozliwiajace niewidoczna kontrole systemu tuz po jego zdobyciu! Cieszcie sie ze rootkity nie stosuja jeszcze technik virii

A najprostszym sposobem na zlapanie rootkita kernelmode jest smigane na Adminie! Bez praw Admina sa one nie grozne (za pierwszym razem)...

Radze poczytac tu o usuwaniu rootkitow:
- "Hardcorowe" programy lodorusa
- Rootkity sterownikowe

 

[Goerg200d]

W praktyce

Jak chcecie poznać jak dobrze działa rootkit w praktyce to polecam trojana PoisonIvy. Doskonała zabawka...

 

[Riddick1]

By nie otwierać nowego tematu dopisze tu.
Mam rootkita w folderze którego niemam na dysku.
Program mi pokazuje że mam rootkita:
*SV: ATE_PROCMON <ATE_PROCMON> PATH: drogram filesantywirusanti trojan eleminateatepmon.dll



Czy to błąd programu czy może zamaskowany rootkit????

 

[D0han]

To jest czesc z dzialanie rootkitow.
Wejdz w CMD (w trybie awaryjnym) i jedziesz tam komedami CD ble ble
potem tylko usuwasz co tam masz i po krzyku

 

[Riddick1]

No dobra ale ja ten folder usunłęłem z "całą " jego zawartością to chyba rootkit powinien tez się usunąć??

 

[D0han]

Raczej sie usunal, radze sprawdzic jeszcze raz system czy nie ma 'kopii zapasowej'.

 

[Riddick1]

A jak sprawdzić czy w systemie niema kopi zapasowej.

 

[D0han]

Tak samo jak sprawdzales czy jest rootkit.
Jesli juz nic nie wykrywa, to chyba jestes czysty.

 

[w1lczyh00d]

Prog UnHackMe kontroluje rejestr i zabezpiecza przed rootkitem.