Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Problem sa Rootkitom

[es] :: Zaštita :: Problem sa Rootkitom
(Zaključana tema (lock), by Goran Mijailovic)
Strane: 1 2

[ Pregleda: 9308 | Odgovora: 39 ] > FB > Twit

Postavi temu

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

Stefan 93

Član broj: 178220
Poruke: 364
*.dynamic.sbb.rs.



Profil

icon Re: Problem sa Rootkitom08.12.2008. u 18:58 - pre 187 meseci
Slika Procesa: http://www.sxc.hu/browse.phtml?f=download&id=1118775
Evo ga log, nije proveren od onda tako da se sada možda nešto navatalo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:57, on 8.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Stardock\CursorFX\CursorFX.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Digsby\lib\digsby-app.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freegamepick.com/?game_title=AdventureMatch
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorFX] "C:\Program Files\Stardock\CursorFX\CursorFX.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: digsby.lnk = C:\Program Files\Digsby\digsby.exe
O4 - Global Startup: Launchy.lnk = C:\Qoobox\Quarantine\C\Program Files\Launchy\Launchy.exe.vir
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 5572 bytes
 
0

Binary Mind
11040

Član broj: 28245
Poruke: 13289
*.adsl-1.sezampro.yu.



+3779 Profil

icon Re: Problem sa Rootkitom09.12.2008. u 16:16 - pre 187 meseci
Nema nista sunjivo u HiJackThis-u. Link sto si prilozio za screenshot mi trazi neki username i password. Molio bih da ga uploadujesh ovde i prilepis sliku ovde na temi da je svi vide... (ono [img]...[/img]).
 
0

Goran Mijailovic

Član broj: 12684
Poruke: 6907



+437 Profil

icon Re: Problem sa Rootkitom09.12.2008. u 17:10 - pre 187 meseci
Citat:
Nema nista sunjivo u HiJackThis-u


Pa nema, zato sto je Rootkit.
Inace ja sam lepo rekao:
Citat:
Ako prodje blacklight najverovatnije je sve u redu. Vrlo je moguce da ti RootkitRevealer pronadje stavke koji ostali alati ne pronalaze, ali treba dobro citati njegov help.


Npr.
Citat:
Hidden from Windows API.
These discrepancies are the ones exhibited by most rootkits, however, if you haven't checked the Hide NTFS metadata files you should expect to see a number of such entries on any NTFS volume since NTFS hides its metada files, such as $MFT and $Secure, from the Windows API. The metadata files present on NTFS volumes varies by version of NTFS and the NTFS features that have been enabled on the volume. There are also antivirus products, such as Kaspersky Antivirus, that use rootkit techniques to hide data they store in NTFS alternate data streams. If you are running such a virus scanner you'll see a Hidden from Windows API discrepancy for an alternate data stream on every NTFS file. RootkitRevealer does not support output filters because rootkits can take advantage of any filtering. Finally, if a file is deleted during a scan you may also see this discrepancy.
itd. itd.
 
0

Goran Mijailovic

Član broj: 12684
Poruke: 6907



+437 Profil

icon Re: Problem sa Rootkitom09.12.2008. u 17:17 - pre 187 meseci
Inace zanimljivo je da obican msconfig vidi path odakle se rootkit startuje u registry za razliku od mnogih specijalizovanih alata, samo treba znati sta da iskljucis.
 
0

Stefan 93

Član broj: 178220
Poruke: 364
*.dynamic.sbb.rs.



Profil

icon Re: Problem sa Rootkitom09.12.2008. u 23:27 - pre 187 meseci
 
0

Goran Mijailovic

Član broj: 12684
Poruke: 6907



+437 Profil

icon Re: Problem sa Rootkitom10.12.2008. u 16:46 - pre 187 meseci
?

Mislis da se rootkit vidi ovde?
 
0

Stefan 93

Član broj: 178220
Poruke: 364
*.dynamic.sbb.rs.



Profil

icon Re: Problem sa Rootkitom10.12.2008. u 22:52 - pre 187 meseci
Ma najjednostavnije rešenje, samo oborim sistem i ko da nikad nije bilo tog rootkita, ako ga je bilo. Ionako imam sve instalacije.
 
0

Binary Mind
11040

Član broj: 28245
Poruke: 13289
*.adsl-a-1.sezampro.yu.



+3779 Profil

icon Re: Problem sa Rootkitom11.12.2008. u 10:25 - pre 187 meseci
Sorry sto se nisam javio ranije. Imao sam posla juce. Digsby je najverovatnije krivac i nije rec ni o kakvom rootkitu jer da jeste znao bih... Inace postoje trojanci koji se ponasaju tako da prave random .sys fajlove sa 8 simbola koji mogu biti slova i brojevi. Ovde nema ni trojanaca a bogami nema ni rootkita.
 
0

Stefan 93

Član broj: 178220
Poruke: 364
*.dynamic.sbb.rs.



Profil

icon Re: Problem sa Rootkitom11.12.2008. u 10:28 - pre 187 meseci
Zašto bi Digsby bio krivac? Koristim ga pola godine i naravno da mi se tamo nikada nije pojavljivao od njega nikakav drajver, to je program za chat, naravno da on ne trpa stvari u system32.
 
0

Binary Mind
11040

Član broj: 28245
Poruke: 13289
*.adsl-a-1.sezampro.yu.



+3779 Profil

icon Re: Problem sa Rootkitom11.12.2008. u 13:28 - pre 187 meseci
To je jedina stavka za koju znam od postojecih koju neki od security alata uvek registruju kao malware. Ostalo je sve cisto, mada ima mogucnosti da neki od Windows sistemskih fajlova budu krivci kao sto je npr. wmiprvse.exe ako ne nalazi tamo gde treba (C:\WINDOWS\System32\Wbem). I wuauclt.exe moze biti maskirani malware ukoliko nije na svojoj putanji tj. C:\Windows\System32 itd. Isto vazi za sve Windows sistemske fajlove. Ako nisu na default putanjama onda su maskirani malware... Probaj da utvrdis da li je to problem. Mozes da instaliras i neki firewall i da vidis da li neki sumnjiv fajl ne trazi izlaz na net. To je jedan od nacina koji moze da se upotrebi da bi se nasla potencijalna gamad.
 
0

Stefan 93

Član broj: 178220
Poruke: 364
*.dynamic.sbb.rs.



Profil

icon Re: Problem sa Rootkitom11.12.2008. u 13:47 - pre 187 meseci
Imao sam sve vreme prvo Comodo FW Pro, pa onda Outpost FW Pro, dok nije pravio magna86 skripte za ComboFix, i nikakav sumnjiv fajl nije pokušavao da izađe na net. Nešto drugo je u pitanju.
 
0

drvlada75
Prokuplje

Član broj: 153703
Poruke: 1204
*.adsl.beotel.net.



+34 Profil

icon Re: Problem sa Rootkitom11.12.2008. u 14:45 - pre 187 meseci
Probaj da ocistis Malwarebytes Anti-malware programom!
 
0

Stefan 93

Član broj: 178220
Poruke: 364
*.dynamic.sbb.rs.



Profil

icon Re: Problem sa Rootkitom11.12.2008. u 14:50 - pre 187 meseci
Samo pročitaj celu temu drvlado!
 
0

Goticni
Boris Vezmar
Senior NOC Engineer, NOC Team Lead,
Systems Administrator
SuperAdmins
Beograd

Član broj: 94721
Poruke: 66

Sajt: www.borisvezmar.com


Profil

icon Re: Problem sa Rootkitom11.12.2008. u 17:25 - pre 187 meseci
Mogao bih ti ja dati par saveta, ali oni su mozda tezi nego da srusis sistem. Zavisi koliko ti je sam sistem bitan, i koliko ga mozes povratiti a da nesto drugo ne trpi. Doduse iz logova koje si ostavljao cini mi se da ti masina ne radi kao server ;)

Ako nije uspelo sve ovo reci pa cemo da ubacimo jos neke metode :)
 
0

drvlada75
Prokuplje

Član broj: 153703
Poruke: 1204
93.86.114.*



+34 Profil

icon Re: Problem sa Rootkitom11.12.2008. u 19:19 - pre 187 meseci
Ma ja pomenuo Malwarebytes jer su mozda prosirili bazu podataka, mozda je i tvoj problem sadrzan u najnovijim definicijama!
Pozdrav!
 
0

zadrugarka
Mirko Marton
elektronicar, ED Sombor
Sombor

Član broj: 159894
Poruke: 57
*.com
Via: [es] mailing liste

Sajt: www.somborcycling.marton...


+1 Profil

icon Re: Problem sa Rootkitom11.12.2008. u 21:14 - pre 187 meseci
Molim Vas komentar?
MBBAm ostaje "bez teksta"
a sa S&D dobijam plavi ekran trenutno ...
borba se nastavlja

Malwarebytes' Anti-Malware 1.31
Verzija baze podataka: 1482
Windows 5.1.2600 Service Pack 2

11.12.2008 17:55:40
mbam-log-2008-12-11 (17-55-33).txt

Tip skeniranja: Brzo Skeniranje
Skeniranih objekata: 111897
Proteklo vreme: 33 minute(s), 34 second(s)

Inficirani procesi u memoriji: 0
Inficirani moduli u memoriji: 1
Inficirani kljuèevi u registru: 4
Inficirane vrednosti u registru: 0
Inficirani podaci u registru: 0
Inficirane fascikle: 0
Inficirane datoteke: 2

Inficirani procesi u memoriji:
(Maliciozne stavke nisu detektovane)

Inficirani moduli u memoriji:
C:WINDOWSsystem32WinCtrl32.dll (Trojan.Agent) -> No action taken.

Inficirani kljuèevi u registru:
HKEY_LOCAL_MACHINESYSTEMControlSet001Serviceswinva82 (Rootkit.Agent) ->
No action taken.
HKEY_LOCAL_MACHINESYSTEMControlSet002Serviceswinva82 (Rootkit.Agent) ->
No action taken.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinva82
(Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifyWinCtrl32 (Trojan.Agent) -> No action
taken.

Inficirane vrednosti u registru:
(Maliciozne stavke nisu detektovane)

Inficirani podaci u registru:
(Maliciozne stavke nisu detektovane)

Inficirane fascikle:
(Maliciozne stavke nisu detektovane)

Inficirane datoteke:
C:WINDOWSsystem32driversWinva82.sys (Rootkit.Agent) -> No action taken.
C:WINDOWSsystem32WinCtrl32.dll (Trojan.Agent) -> No action taken.



__________ Information from ESET Smart Security, version of virus signature database 3684 (20081211) __________

The message was checked by ESET Smart Security.

http://www.eset.com
Somborac
 
0

magna86
Anti Malware Fighter

Član broj: 189287
Poruke: 557

Sajt: www.mycity.rs/Ambulanta


+16 Profil

icon Re: Problem sa Rootkitom11.12.2008. u 23:00 - pre 187 meseci
@zadrugarka
nisi odradio posao! nisi kliknuo na Remove Selected
Ponovi skeniranje, izaberi Full Scan, po zavrsetku procesa klikni OK,
klikni Remove Selected

kad zavrsi,postavi svez MBAM log

[Ovu poruku je menjao magna86 dana 12.12.2008. u 00:15 GMT+1]
http://www.itfix.biz/images/Malware.JPG
 
0

Stefan 93

Član broj: 178220
Poruke: 364
*.dynamic.sbb.rs.



Profil

icon Re: Problem sa Rootkitom17.12.2008. u 22:38 - pre 186 meseci
Ćao svima, čisto da zatvorim temu, ako nekad neko bude imao slični problem da može da vidi šta se desilo.
Zaključak: to je izgleda nešto novo i ako se do tada ne poprave ovi alati jedini način da ga se rešite je kao što sam i ja uradio, samo obaranje sistema. Ili imate i drugo rešenje, da koristite neke mnogo komplikovane alate (samo mi je rečeno da postoje) za šta ćete morati da nađete stručnjaka, ali to se baš i ne isplati ako nemate neke vrlo bitne podatke koje ne možete da prenesete.
 
0

Goran Mijailovic

Član broj: 12684
Poruke: 6907



+437 Profil

icon Re: Problem sa Rootkitom18.01.2009. u 02:57 - pre 185 meseci
Stefane tema je otkljucana.
 
0

93 Stefan
Stefan 93

Član broj: 208278
Poruke: 624
*.dynamic.sbb.rs.



+13 Profil

icon Re: Problem sa Rootkitom18.01.2009. u 11:57 - pre 185 meseci
Hvala Goxy, dakle ovaj rootkit što ga je našao AVG je drajver za Daemon Tools, tačnije za virtuelne drajvove. Ovo nema nikakve veze sa onim adware-om, on se nalazi u toolbaru i njega naravno da nisam istalirao.
Džabe sam obarao sistem :'(
Samo mi nije jasno kako to da jedan takav drajver pri svakom restartu menja ime i da ne mogu da ga vidim? Pa ni ta aplikacija ne može normalno da ga nađe ako je stvarno njen, valjda. Morala bi da pretražuje ceo taj folder da bi ga uopšte našla. Možda je to da bi se izbegle one razne zaštite na diskovima?
Izvinjavam se svima koje sam razgnevio svojim pisanjima. Trudiću se da se popravim.
 
0

[es] :: Zaštita :: Problem sa Rootkitom
(Zaključana tema (lock), by Goran Mijailovic)
Strane: 1 2

[ Pregleda: 9308 | Odgovora: 39 ] > FB > Twit

Postavi temu

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.