Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

!! ROOTKIT ??

#1
!! ROOTKIT ??
Witam, mam problem z XP. Od pewnego czasu zauważyłem dużą aktywność połączenia sieciowego w czasie, gdy nie korzystałem z Internetu. Do tego wzrosło obciążenie procesora w czasie bezczynności do ok. 20%. Process Explorer pomógł mi znaleźć przyczynę … niestety – jeden (nowy?) process svchost.exe łączy się z różnymi serwerami na port smtp. Problem można zdiagnozować, że to jakiś spam bot. Tylko jak go leczyć? MKS online, Kaspersky online – nic, spybot S&D – nic, AD-aware – nic. Oczywiście były jakieś tracking cookie itp., nic szczególnego. Plik svchost na virustotal czysty. W Services.msc nie ma nic podejrzanego już bo wyłączyłem większość nieistotnych usług.
Dziwne bo można ubić spokojnie ten proces, nic go nie powołuje już do życia.

Jednak obawiam się najgorszego – rootkit.

Na co dzień używam linuksa, windy tylko do gier (CS zaczął nagle dziwnie lagować Język) dlatego nie mam antywira..

Logi: (CF, HJT)

.txt   ComboFix.txt (Rozmiar: 9,21 KB / Pobrań: 287)
.log   hijackthis.log (Rozmiar: 3,35 KB / Pobrań: 43)

Pozostał mi format?
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#2
RE: !! ROOTKIT ??
Użyj SystemLook.exe i wklej do niego:
Kod:
:filefind
reader_s.exe
wiaserva.log
ikowin32.exe
lsass.exe

:file
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys

:dir
c:\windows\pss
wciśnij Look i pokaż co wyskoczy.

Tutaj prawdopodobnie był Virut i nie jestem pewien czy został do końca usunięty (plik ndis.sys wydaje się być podmieniony).
Przeskanuj komputer za pomocą DrWebCureIt i pokaż raport z niego.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#3
RE: !! ROOTKIT ??
Log z systemlook:

.txt   SystemLook.txt (Rozmiar: 3,75 KB / Pobrań: 64)

DrWebCureIt nie znalazł żadnych wirusów Płacze

Z tego co wiem to Viruta nie da się tak łatwo usunąć a w moim przypadku aktywność wirusa jest bardzo mała i tylko przypadek sprawił że go wykryłem.

212-95-32-27.internetserviceteam.com:25612 - z tym adresem svchost.exe nawiązuje połączenie później to już cała lawina na inne adresy z Rosji, Rumunii, Niemiec i innych krajów.

Czy mój komputer stał się jakimś zombie do wysyłania spamu ?!
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#4
RE: !! ROOTKIT ??
Zaktualizuj wtyczki do przeglądarek - Java, Flash, Adobe Reader, zainstaluj łatkę dotyczącą parsowania plików QuickTime.
Z poziomu konsoli odzyskiwania (patrz->dział Oprogramowanie ->teamty podwieszone) podmień pliki:
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys
plikami ndis.sys z płtki instalacyjnej (ze zintegrowanym SP2). W razie czego plik jest również tutaj:
http://chomikuj.pl/Kloss-J23/software/Pl...32_sp2.sys
(tylko trzeba mu zmienić nazwę na ndis.sys)
Z płytki instalacyjnej wypakuj również plik:
msgsvc.dll
do katalogów:
c:\windows\system32
c:\windows\system32\dllcache

Otwórz edytor rejestru (regedit.exe) i usuń pogrubione gałęzie:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Lubina^Menu Start^Programy^Autostart^ikowin32.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Lubina^Menu Start^Programy^Autostart^lsass.exe]

Do SystemLook wklej:
Kod:
:dir
c:\documents and settings\Lubina\Menu Start\Programy\Autostart

:filefind
svchost*

:regfind
ikowin32.exe
lsass.exe
wciśnij Look i pokaż co wyskoczy.

Użyj OTC.exe:
http://oldtimer.geekstogo.com/OTC.exe
pobierz na nowo Combofix i wykonaj log - tym razem montując konsolę odzyskiwania.
Pokaż również logi z OTL oraz z GMERa.

Polecenia wykonaj w takiej kolejności jak podałem.

Cytat:DrWebCureIt nie znalazł żadnych wirusów
To dość dziwne, bo powinien chociaż znaleźć pliki z kwarantanny Combofix. Wykonałeś pełne skanowanie komputera ?
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
#5
RE: !! ROOTKIT ??
Na początek, to siedziało zamiast mojego ndis.sys:
ndis.sys

Właśnie podmieniam plik pod linuksemWesoły po restarcie wykonam dalsze czynności.

System uruchomił się normalnie Wesoły brak aktywności wirusa !Brawa

Log z Systemlook:

.txt   SystemLook.txt (Rozmiar: 12,85 KB / Pobrań: 45)

Log z ComboFix:

.txt   ComboFix.txt (Rozmiar: 10,45 KB / Pobrań: 52)

Log OTL:

.txt   OTL.Txt (Rozmiar: 62,72 KB / Pobrań: 66)

Log GMER:

.log   gmer.log (Rozmiar: 539 bajtów / Pobrań: 37)

Pełne skanowanie nie znalazło nic szczególnego (wirusy są wg Dr. Web wpliku ComboFix.exe Język )

Sprawdziłem jeszcze dysk w innym kompie kasperskim i jest ok Wesoły

Wielkie dzięki za poświęcony czas i analize logów Wesoły Brawa
 System operacyjny: linux Przeglądarka: firefox
#6
RE: !! ROOTKIT ??
Wydaje się, że jest OK, ale chciałbym sprawdzić jeszcze parę plików.
Do SystemLook wklej:
Kod:
:file
c:\windows\system32\user32.dll
c:\windows\system32\dllcache\user32.dll
c:\windows\system32\wininet.dll
c:\windows\system32\dllcache\wininet.dll
c:\windows\system32\drivers\dllcache\tcpip.sys
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\dllcache\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\dllcache\ntoskrnl.exe
c:\windows\explorer.exe
c:\windows\system32\dllcache\explorer.exe
c:\windows\system32\wuauclt.exe
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\mshtml.dll
c:\windows\system32\dllcache\mshtml.dll
c:\windows\system32\msgsvc.dll
c:\windows\system32\sfcfiles.dll
c:\windows\system32\dllcache\sfcfiles.dll
c:\windows\system32\drivers\ndis.sys
c:\windows\system32\dllcache\ndis.sys

:findfile
sfc*
ntoskrnl.exe
ntkrnlpa.exe

Pliki:
c:\windows\system32\user32.dll
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\wininet.dll
c:\windows\explorer.exe
c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\wuauclt.exe
c:\windows\system32\msgsvc.dll
c:\windows\system32\sfcfiles.dll
przeskanuj na http://www.virustotal.com i podaj linki do wyników.

Widzę, że system przerabiany był NLitem, więc mogę mieć kłopoty ze znalezieniem plików w odpowiednich wersjach (w celu ich porównania).
Czy był zwiększany limit jednoczensych połączeń ? (patchowanie tcpip.sys) albo wyłączana ochrona plików systemowych?

Pokaż plik Extras.txt utworzony przez OTL.
Nie odpowiadam w tematach z działu 'Bezpieczeństwo', w których brakuje pełnego zestawu logów:
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Jeżeli prowadziłem wątek i w nim nie odpowiadam przez 3 dni-proszę o przypomnienie na PW.
Nie pomagam na PW.
Prośba o przetestowanie aplikacji: http://forum.pcformat.pl/Prosba-o-przete...L-OpenGL-t
 System operacyjny: windows_xp_2003 Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
explorer.exe aktywne polaczenia

Podobne wątki (!! ROOTKIT ??)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Uszkodzony sterownik w antyw. Anti-Rootkit, utrata kontroli nad kontem, zawirusowanie Lukaskov 1 1010 26.06.2016, 16:57
Ostatni post: morderca
  Rootkit w plikach AVG Daria87 1 3392 04.07.2015, 13:17
Ostatni post: smok
  Czy w systemie ukrył się jakiś rootkit, trojan? lionelius 4 1065 15.03.2015, 14:27
Ostatni post: lionelius

Skocz do:


Wybrane wątki (!! ROOTKIT ??)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Win32:Malware-gen vader00x 1 5363 08.05.2018 18:44
Ostatni post: morderca
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 111 150098 06.05.2018 21:35
Ostatni post: Illidan
  Niepotrzebne strony z firefox greg8403 1 5175 02.05.2018 17:50
Ostatni post: morderca
Sad Rosyjski wirus-Pomocy! Dodo9801 6 5448 30.04.2018 15:33
Ostatni post: Dodo9801
Ściana Kopalnia z svchost w tle Matieo96 3 6383 26.04.2018 01:49
Ostatni post: Illidan
  TeamViewer nie uruchamia się. ~Anonim 2 2311 26.04.2018 01:46
Ostatni post: Illidan
  zły obraz Win 7 orzel132 9 5988 24.04.2018 01:24
Ostatni post: Illidan
  Cloudflare "One more step" lotand 18 12107 19.04.2018 19:45
Ostatni post: AgentS
  SYSTEM_SERVICE_EXCEPTION cyberbrain666666 2 5746 02.04.2018 03:28
Ostatni post: Illidan
  Komputer wolniej chodzi,explorer.exe ma duży zasób procesu tayeenek 1 5162 29.03.2018 16:07
Ostatni post: Illidan
  hijack.host elwis_95 2 5546 26.03.2018 19:16
Ostatni post: ~Anonim
  Jak usunąć pup.optional... funkyymonk 1 1306 23.03.2018 12:05
Ostatni post: morderca
  Backup a ransomware Grzesiek11 2 5439 19.03.2018 17:30
Ostatni post: ~Anonim
  Przekierowywanie przez przeglądarki na strony "reklamowe", dziwne procesy tic00 24 18316 19.03.2018 12:12
Ostatni post: Illidan
  POMOCY PENDRIVE TWORZY SKROT macuskowal 4 5870 15.03.2018 22:27
Ostatni post: macuskowal