Rootkit ? Poradźcie co z tym zrobić?


(Kelso1) #1

Jestem tu po raz pierwszy, więc witam Wszystkich serdecznie :slight_smile: .

Zaznaczam od razu, że komputer/system/programy działają bez zarzutu. Coś mnie po prostu natchnęło i przeskanowałem dysk programami: Sophos Anti-Rootkit v.1.3 i v.1.3.1 RC (najnowsza, jeszcze nie stabilna wersja), które nie znalazły nic. Z kolei program AVG Anti-Rootkit Free v.1.1.0.42 za każdym skanem znajduje coś takiego: D:\Windows\System32\Drivers\ayhcv27i.SYS pisząc, że jest to "Hidden driver file" i klasyfikując go jako zagrożenie. Po każdym restarcie systemu, wykrywany jako rootkit plik zmienia (losowo - ośmio znakowa kombinacja liter i cyfr) nazwę. Kiedy zainstalowałem AVG Anti-Rootkit Free w drugim systemie jaki posiadam na komputerze (Win 2000), nic nie wykrył na partycji z Win XP. Jakiś czas temu (2-3 miesiące) skanowałem dysk tym programem i nie znajdował nic podejrzanego. Zrobiłem kopię partycji i kazałem programowi usunąć podejrzany plik. Po wymaganym restarcie program pogratulował mi usunięcia zagrożenia, ale przy ponownym skanowaniu znowu wykrył rootkita (oczwiście pod inną nazwą). Skanowanie Kaspersky 7.0.0.125 i Spy Sweeper 5.3.2.2361 nie wykrywa żadnych zagrożeń (one też ponoć szukają rootkitów). Użyłem też narzędzia System Virginity Verifier, który klasyfikuje stan systemu na "2-Yellow", co oznacza brak zagrożeń. Aplikacja ta zachowuje się jednak dość dziwnie. Można ją uruchomic (z wiersza poleceń) tylko raz. Ponowne polecenie >check skutkuje komunikatem: ERROR : loading driver! Pomyślnie można ją dopiero uruchomić po restarcie systemu, ale znowu tylko raz !? Dodam, że w Windows 2000 aplikacja ta działa poprawnie mimo kilkukrotnego uruchamiania. Mam gorącą prośbę do Kolegów - jak to "coś" skutecznie usunąć ? Może to jednak fałszywy alarm i sprawę należy zbagatelizować ?


(Nowy10) #2

Dla pewności daj logi z Hijackthis i SilentRunners


(Kelso1) #3

Proszę bardzo: log z Hijackthis

oraz z Silent Runner


(jessica) #4

Te logi są czyste.

Ale w logach Hijacka i Sillent w zasadzie nie są widoczne Rootkity.

Wg mnie, ten Twój tajemniczy driver wcale nie jest szkodnikiem, a nawet wręcz przeciwnie.

Niektóre programy ochronne lub narzędzia usuwające mają wbudowany w siebie moduł, który zmienia nazwy ich własnych procesów z każdym uruchomieniem komputera. Ma to na celu ochronę przed wirusami, żeby wirusowi było trudniej namierzyć taki sterownik.

Czy jest tak także u Ciebie - tego nie wiem, ale jest to bardzo prawdopodobne.

Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi


(Kelso1) #5

Oto log z ComboFix: http://www.wklej.org/id/b93209d08a

Mam jednak parę pytań i uwag zwiazanych z działaniem w/w programu.

  1. Włączył automatyczne aktualizacje w Windows (było wyłączone).

  2. Właczył przywracanie systemu (było wyłączone).

  3. Zlikwidował wpisy w rejestrze blokujące strone startową IE7 (sam je utworzyłem, bo co jakiś czas przestawiała się na tą Microsoftu)

  4. Na partycji systemowej utworzył katalogi:

D:\qoobox

D:\Windows\erdnt (dosyć duży - 61 MB)

no i oczywiście plik z logiem :slight_smile:

Więcej zmian na razie nie zauważyłem. Czy to jest normalne ? Czy program jeszcze cos zmienia w ustawieniach Windows ? Czy utworzone katalogi można po prostu skasować ?

Edit: w katalogu D:\Windows\erdnt jest chyba kopia rejestru i ustawień Windows z przed modyfikujących działań programu. Siedzi tam plik Erdnt.exe który jest prawdopodobnie aplikacją kopiującą w/w ustawienia (nie uruchamiałem).


(jessica) #6

To Twoje foldery?

Sprawdź go na --> http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html.

(korzysta się podobnie jak z JOTTI).

Tak, ComboFix powoduje takie zmiany, które opisaleś - możesz je spowrotem ustawić po swojemu.

Te foldery utworzone przez ComboFixa: usuń

Nic tu więcej podejrzanego nie widzę.

jessi


(Kelso1) #7

Tak, katalog D:\svv został utworzony przeze mnie. Sa tam pliki aplikacji System Virginity Verifier. Jeśli chodzi o D:\WINDOWS\system32\1175.tmp - NIE MA JUZ TEGO PLIKU !?


(jessica) #8

To jest plik związany z usługą. Być może jest ukryty:

Zastanawia mnie, dlaczego plik z rozszerzeniem *.tmp ma swoją usługę?

Prawdopodobnie jest to plik i usługa Sophos a, ale lepiej to sprawdzić, bo na większości zagranicznych for to usuwają.

jessi


(Kelso1) #9

W opcjach widoku folderów miałem tak ustawione, jak zalecasz. Pliku D:\WINDOWS\system32\1175.tmp nie ma (nie widać) !?

Pytanie odnośnie przywrócenia ustawień Windows i rejestru z kopii znajdującej się D:\Windows\erdnt za pomocą aplikacji Erdnt.exe. Widzę, że ComboFix poprzestawiał co nie co w Windowsie (wydaje mi się, że w kierunku > default > bezpieczeństwo), ale nie chce mi się szukać, co takiego jeszcze zmienił. Przeróżne tweaki/modyfikacje wprowadzam na bieżąco (w miarę jak coś ciekawego/sensownego znajduję) i nawet już nie pamiętam wszystkiego co zmieniałem. Czy przywracając kopię uzyskam na pewno stan sprzed zadziałania ComboFix ?


(jessica) #10

To zależy, do jakiej daty cofniesz system.

jessi


(Kelso1) #11

Co do przywracania ustawień i rejestru - jeszcze się zastanowię. W kwestii domniemanego rootkita rozumiem, że był to fałszywy alarm i dajemy sobie spokój z dalszymi poszukiwaniami. W takim razie dziękuję nowy 10 , a przede wszystkim jessica za poświęcony czas i uwagę. :piwo: Zdrówko !