Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

!! ROOTKIT ??

#1
!! ROOTKIT ??
Witam, mam problem z XP. Od pewnego czasu zauważyłem dużą aktywność połączenia sieciowego w czasie, gdy nie korzystałem z Internetu. Do tego wzrosło obciążenie procesora w czasie bezczynności do ok. 20%. Process Explorer pomógł mi znaleźć przyczynę … niestety – jeden (nowy?) process svchost.exe łączy się z różnymi serwerami na port smtp. Problem można zdiagnozować, że to jakiś spam bot. Tylko jak go leczyć? MKS online, Kaspersky online – nic, spybot S&D – nic, AD-aware – nic. Oczywiście były jakieś tracking cookie itp., nic szczególnego. Plik svchost na virustotal czysty. W Services.msc nie ma nic podejrzanego już bo wyłączyłem większość nieistotnych usług.
Dziwne bo można ubić spokojnie ten proces, nic go nie powołuje już do życia.

Jednak obawiam się najgorszego – rootkit.

Na co dzień używam linuksa, windy tylko do gier (CS zaczął nagle dziwnie lagować Język) dlatego nie mam antywira..

Logi: (CF, HJT)

.txt   ComboFix.txt (Rozmiar: 9,21 KB / Pobrań: 289)
.log   hijackthis.log (Rozmiar: 3,35 KB / Pobrań: 45)

Pozostał mi format?
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#2
RE: !! ROOTKIT ??
Użyj SystemLook.exe i wklej do niego:
Kod:
:filefind
reader_s.exe
wiaserva.log
ikowin32.exe
lsass.exe

:file
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys

:dir
c:\windows\pss
wciśnij Look i pokaż co wyskoczy.

Tutaj prawdopodobnie był Virut i nie jestem pewien czy został do końca usunięty (plik ndis.sys wydaje się być podmieniony).
Przeskanuj komputer za pomocą DrWebCureIt i pokaż raport z niego.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#3
RE: !! ROOTKIT ??
Log z systemlook:

.txt   SystemLook.txt (Rozmiar: 3,75 KB / Pobrań: 67)

DrWebCureIt nie znalazł żadnych wirusów Płacze

Z tego co wiem to Viruta nie da się tak łatwo usunąć a w moim przypadku aktywność wirusa jest bardzo mała i tylko przypadek sprawił że go wykryłem.

212-95-32-27.internetserviceteam.com:25612 - z tym adresem svchost.exe nawiązuje połączenie później to już cała lawina na inne adresy z Rosji, Rumunii, Niemiec i innych krajów.

Czy mój komputer stał się jakimś zombie do wysyłania spamu ?!
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#4
RE: !! ROOTKIT ??
Zaktualizuj wtyczki do przeglądarek - Java, Flash, Adobe Reader, zainstaluj łatkę dotyczącą parsowania plików QuickTime.
Z poziomu konsoli odzyskiwania (patrz->dział Oprogramowanie ->teamty podwieszone) podmień pliki:
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys
plikami ndis.sys z płtki instalacyjnej (ze zintegrowanym SP2). W razie czego plik jest również tutaj:
http://chomikuj.pl/Kloss-J23/software/Pl...32_sp2.sys
(tylko trzeba mu zmienić nazwę na ndis.sys)
Z płytki instalacyjnej wypakuj również plik:
msgsvc.dll
do katalogów:
c:\windows\system32
c:\windows\system32\dllcache

Otwórz edytor rejestru (regedit.exe) i usuń pogrubione gałęzie:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Lubina^Menu Start^Programy^Autostart^ikowin32.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Lubina^Menu Start^Programy^Autostart^lsass.exe]

Do SystemLook wklej:
Kod:
:dir
c:\documents and settings\Lubina\Menu Start\Programy\Autostart

:filefind
svchost*

:regfind
ikowin32.exe
lsass.exe
wciśnij Look i pokaż co wyskoczy.

Użyj OTC.exe:
http://oldtimer.geekstogo.com/OTC.exe
pobierz na nowo Combofix i wykonaj log - tym razem montując konsolę odzyskiwania.
Pokaż również logi z OTL oraz z GMERa.

Polecenia wykonaj w takiej kolejności jak podałem.

Cytat:DrWebCureIt nie znalazł żadnych wirusów
To dość dziwne, bo powinien chociaż znaleźć pliki z kwarantanny Combofix. Wykonałeś pełne skanowanie komputera ?
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#5
RE: !! ROOTKIT ??
Na początek, to siedziało zamiast mojego ndis.sys:
ndis.sys

Właśnie podmieniam plik pod linuksemWesoły po restarcie wykonam dalsze czynności.

System uruchomił się normalnie Wesoły brak aktywności wirusa !Brawa

Log z Systemlook:

.txt   SystemLook.txt (Rozmiar: 12,85 KB / Pobrań: 48)

Log z ComboFix:

.txt   ComboFix.txt (Rozmiar: 10,45 KB / Pobrań: 56)

Log OTL:

.txt   OTL.Txt (Rozmiar: 62,72 KB / Pobrań: 71)

Log GMER:

.log   gmer.log (Rozmiar: 539 bajtów / Pobrań: 41)

Pełne skanowanie nie znalazło nic szczególnego (wirusy są wg Dr. Web wpliku ComboFix.exe Język )

Sprawdziłem jeszcze dysk w innym kompie kasperskim i jest ok Wesoły

Wielkie dzięki za poświęcony czas i analize logów Wesoły Brawa
 System operacyjny: linux Przeglądarka: firefox
#6
RE: !! ROOTKIT ??
Wydaje się, że jest OK, ale chciałbym sprawdzić jeszcze parę plików.
Do SystemLook wklej:
Kod:
:file
c:\windows\system32\user32.dll
c:\windows\system32\dllcache\user32.dll
c:\windows\system32\wininet.dll
c:\windows\system32\dllcache\wininet.dll
c:\windows\system32\drivers\dllcache\tcpip.sys
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\dllcache\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\dllcache\ntoskrnl.exe
c:\windows\explorer.exe
c:\windows\system32\dllcache\explorer.exe
c:\windows\system32\wuauclt.exe
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\mshtml.dll
c:\windows\system32\dllcache\mshtml.dll
c:\windows\system32\msgsvc.dll
c:\windows\system32\sfcfiles.dll
c:\windows\system32\dllcache\sfcfiles.dll
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys

:findfile
sfc*
ntoskrnl.exe
ntkrnlpa.exe

Pliki:
c:\windows\system32\user32.dll
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\wininet.dll
c:\windows\explorer.exe
c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\wuauclt.exe
c:\windows\system32\msgsvc.dll
c:\windows\system32\sfcfiles.dll
przeskanuj na http://www.virustotal.com i podaj linki do wyników.

Widzę, że system przerabiany był NLitem, więc mogę mieć kłopoty ze znalezieniem plików w odpowiednich wersjach (w celu ich porównania).
Czy był zwiększany limit jednoczensych połączeń ? (patchowanie tcpip.sys) albo wyłączana ochrona plików systemowych?

Pokaż plik Extras.txt utworzony przez OTL.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
explorer.exe aktywne polaczenia

Podobne wątki (!! ROOTKIT ??)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Uszkodzony sterownik w antyw. Anti-Rootkit, utrata kontroli nad kontem, zawirusowanie Lukaskov 1 1144 26.06.2016, 16:57
Ostatni post: morderca
  Rootkit w plikach AVG Daria87 1 3656 04.07.2015, 13:17
Ostatni post: smok
  Czy w systemie ukrył się jakiś rootkit, trojan? lionelius 4 1195 15.03.2015, 14:27
Ostatni post: lionelius

Skocz do:


Wybrane wątki (!! ROOTKIT ??)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Prośba o sprawdzenie logów wonski85 1 5938 04.04.2020 18:36
Ostatni post: broda99
  Mocno spowolniony system + zablokowany ikon w obszarze powiadomień. KlimatSDR 5 5288 28.03.2020 19:08
Ostatni post: Illidan
  wirus w internet explorer maciomen201 10 11752 05.03.2020 01:33
Ostatni post: Illidan
Scared Ktoś chyba włamał mi się na pocztę krzysiek3542 3 6088 15.02.2020 16:12
Ostatni post: Fix00ser
  pomoc z złośliwym oprogramowaniem roger9595 0 5941 07.02.2020 18:35
Ostatni post: roger9595
  Windows Defender - ciągłe skanowanie? DonOmar3 13 23842 06.02.2020 00:52
Ostatni post: Illidan
  Wirus blokuje dostęp do internetu Rzychu 10 12583 05.02.2020 12:10
Ostatni post: wlisik
  Uwaga na crackerów wlisik 11 12931 04.02.2020 23:59
Ostatni post: Illidan
  Potencjalnie zainfekowane pliki na FTP Unlimited 5 2544 02.02.2020 19:21
Ostatni post: kompowiep
  Po starcie systemu włącza się strona z wirusem [wydzielone] sugar80 2 5899 01.02.2020 16:53
Ostatni post: sugar80
  cmd.exe użycie procesora 100% drunkparis 6 2114 22.12.2019 18:41
Ostatni post: drunkparis
  Nieautoryzowane logowanie na Facebooka - możliwy keylogger Pawes97 1 6567 15.12.2019 09:12
Ostatni post: morderca
  Internet spowalnia komputer technomaro 10 14589 04.12.2019 20:32
Ostatni post: donatanio
  Prośba o sprawdzenie logów. bartosz777 2 7018 01.12.2019 14:01
Ostatni post: boroczek
  Sprawdzenie logów- powolne działanie komputera technomaro 4 6834 16.11.2019 21:19
Ostatni post: technomaro