Rootkit -co to jest

BOGDAN380 · 6 Listopad 2006 12:58

Przeskanowalem GMEREM 1.0.12 i wyskakuje mi ze wykryto ze system zostal zmodyfikowany przez ROOTKIT’a niewiem co to jest ale dwie pozycje na liscie są na czerwono.Coś z systemem 32.Da się coś z tym zrobić?

JNJN · 6 Listopad 2006 13:07

Proszę zmienić temat postu na konkretny,opcja zmień i popraw.JNJN

adam9870 · 6 Listopad 2006 14:16

Pokaż dwa logi z Gmer’a przy takich ustawieniach:

Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Start, uruchom, notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.
Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy >>> Start, uruchom, wpisz notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.

Pliki z logami umieść w jakimś serwisie hostingowym i daj do nich linki ponieważ bezpośrednio do posta się nie zmieszczą.

http://forum.dobreprogramy.pl/viewtopic.php?t=96929

Dodatkowo możesz pokazać screena z tych plików, które są zaznaczone na czerwono.

BOGDAN380 · 6 Listopad 2006 14:59

nieznaleziono notapada -tak mi wyskakuje

adam9870 · 6 Listopad 2006 15:05

Rozumiem, że komunikat ten pokazuje Ci się po wybraniu start => uruchom => notepad => klik na OK.

Cóż, wklej do jakiegoś innego edytora tekstu i zapisz. Tylko mała uwaga : nie wklejaj do takiego edytora, który zmienia wyrazy etc. ponieważ jeśli jest syf to po zmianie log nie będzie za bardzo przydatny.

A jeśli nie masz edytora to wklej do posta najpierw jednego loga, napisz do Moderatora z prośbą o tzw. rozdzielacz i wklej nowego loga lub pobierz jakiś edytor np. ten:

http://dobreprogramy.pl/index.php?dz=2&id=483&t=9

BOGDAN380 · 6 Listopad 2006 15:09

kurcze jestem ciemny w tych sprawach dopiero sie ucze . Mam Word Pad to niebedzie

adam9870 · 6 Listopad 2006 15:17

WorPad może być.

Otwórz WordPad’a => Prawy klawisz myszki i opcja Wklej => Plik => zapisz jako => ustaw tak:

i kliknij Zapisz.

Tak samo robisz w przypadku drugiego loga.

BOGDAN380 · 6 Listopad 2006 15:48

wszystko mam ,jestem juz na tamtej stronie ale niewiem w co wejsc ,bo straszny spis jest i jak dodac linka

adam9870 · 6 Listopad 2006 16:07

Dobrze, wejdź na stronę:

http://www.sendspace.com/

Obok pola Select file* (up to 300MB): kliknij na przycisk Przeglądaj… => Wskaż na dysku pierwszy plik z logiem => już po wskazaniu zaznacz opcję I have read and agree to the terms of service. => kliknij przycisk Upload File => poczekaj chwilkę aż plik zostanie wysłany na serwer => na stronie, która się otworzy:

skopiuj link, który znajduje się przy The download link is: i wklej go na forum.

Tak samo zrób w przypadku pliku z drugim logiem.

BOGDAN380 · 6 Listopad 2006 16:09

GMER 1.0.12.11879 - http://www.gmer.net Czy ktos mi pomoze to naprawić,będę wdzięczny

Rootkit scan 2006-11-06 16:45:07

Windows 5.1.2600 Dodatek Service Pack 2

---- System - GMER 1.0.12 ----

SSDT sptd.sys ZwEnumerateKey

SSDT sptd.sys ZwEnumerateValueKey

---- Devices - GMER 1.0.12 ----GMER 1.0.12.11879 - http://www.gmer.net

Rootkit scan 2006-11-06 16:45:45

Windows 5.1.2600 Dodatek Service Pack 2

---- System - GMER 1.0.12 ----

SSDT sptd.sys ZwEnumerateKey

SSDT sptd.sys ZwEnumerateValueKey

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 823D80E8

---- Processes - GMER 1.0.12 ----

Process E:\WINDOWS\system32\rfkjicnlav.exe (*** hidden *** ) 2172

Library E:\windows\system32\rfkjicnlav.exe (*** hidden *** ) @ E:\WINDOWS\system32\rfkjicnlav.exe [2172] 0x00400000

Złączono Posta : 06.11.2006 (Pon) 17:10

EOF - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 823D80E8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 823D80E8

---- Processes - GMER 1.0.12 ----

Process E:\WINDOWS\system32\rfkjicnlav.exe (*** hidden *** ) 2172

Library E:\windows\system32\rfkjicnlav.exe (*** hidden *** ) @ E:\WINDOWS\system32\rfkjicnlav.exe [2172] 0x00400000

---- EOF - GMER 1.0.12 ----

Bieniol · 6 Listopad 2006 17:55

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

E:\WINDOWS\system32\rfkjicnlav.exe

Klikasz X i restart kompa

BOGDAN380 · 6 Listopad 2006 19:43

kurcze niema nic takiego w moim kompie

Bieniol · 6 Listopad 2006 19:45

Czego nie ma? Usunąłeś plik?

BOGDAN380 · 6 Listopad 2006 20:03

widocznie na to wychodzi i niewiem co ztym zrobic

adam9870 · 6 Listopad 2006 21:07

Plik jest ukryty więc tak normalnie możesz go nie zobaczyć.

Jeśli w Gmerze nadal będzie wyświetlana informacja na temat odnalezionej modyfikacji w systemie to spróbuj zróbić tak w Gmerze:

W zakładce CMD z zaznaczoną podopcją CMD.EXE wklej:

W zakładce Procesy wybierz Zabij wszystko

(nie przestrasz się teraz bo zniknie pulpit)

Wróć do zakładki CMD i z zaznaczoną opcją CMD.EXE kliknij przycisk Uruchom

teraz reset i pokaż nowe logi z Gmer’a.