Rootkit - usuwać,czy zostawić?

Kruchy · 13 Wrzesień 2007 13:07

Witam.

Ostatnio zrobiłem sobie skan programem Rootkit Revealer i znalazł mi coś takiego.

Czytając opis tego programu, zauważyłem że: “Elementów, które są prezentowane przez program nie należy automatycznie klasyfikować jako rootkity”.

Wiem też:“Rootkit tworzy niewidoczną usługę sterownikową…różwnież w kluczach kopii konfiguracyjnych ControlSet001, ControlSet002”,źródło.

I tu moje pytanie.Czy, to co znalazł ten program klasyfikować jako rootkit,czy nie?Jeśli tak to jak go usunąć.Edytowanie rejestru nic nie pomogło,ponieważ nie znalazlem tego wpisu.

Pozdrawiam.

jessica · 13 Wrzesień 2007 13:16

To zależy, czy masz zainstalowany “Daemon Tools”, czy nie.

Jeśli masz zainstalowany, to “sptd” jest jego plikiem.

Jeśli nie masz "Daemona i nigdy nie miałeś, to…

jessi

Kruchy · 13 Wrzesień 2007 14:27

Tak miałem daemon tools zainstalowany(jakiś tydzień temu),dla pewności zrobiłem skan innymi programami,ale nic nie wykryły.Chyba,więc to nic groźnego.

Dziękuję i pozdrawiam.

Gutek · 13 Wrzesień 2007 18:13

Daj log z ComboFix

Kruchy · 16 Wrzesień 2007 18:44

Przepraszam że dopiero teraz ,ale musiałem wyjechać na trzy dni.

ComboFix 07-09-14.2 - “Kruchy” 2007-09-16 20:37:06.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.132 [GMT 2:00] * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . F:\WINDOWS\hosts F:\WINDOWS\uninstall_nmon.vbs . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_CMDSERVICE -------\LEGACY_NETWORK_MONITOR -------\cmdService -------\Network Monitor ((((((((((((((((((((((((( Files Created from 2007-08-16 to 2007-09-16 ))))))))))))))))))))))))))))))) . 2007-09-16 20:34 51,200 --a------ F:\WINDOWS\NirCmd.exe 2007-09-05 12:51 2007-09-05 01:28 2007-09-05 01:14 2007-09-05 00:57 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-16 20:40 --------- d-------- F:\Program Files\AutoConnect 2007-09-13 14:11 --------- d-------- F:\DOCUME~1\Kruchy\DANEAP~1\uTorrent 2007-09-12 18:11 --------- d-------- F:\Program Files\eMule 2007-09-12 12:31 --------- d-------- F:\DOCUME~1\Kruchy\DANEAP~1\MegauploadToolbar 2007-09-11 20:14 --------- d–h----- F:\Program Files\InstallShield Installation Information 2007-09-11 14:44 --------- d-------- F:\Program Files\DC++ 2007-09-09 22:21 --------- d-------- F:\Program Files\Soulseek 2007-09-05 12:51 --------- d-------- F:\Program Files\Gadu-Gadu 2007-08-08 17:12 90240 --a------ F:\WINDOWS\system32\drivers\sptd2365.sys 2007-08-08 17:12 664064 --a------ F:\WINDOWS\system32\drivers\sptd.sys 2007-08-08 04:05 --------- d-------- F:\Program Files\MegauploadToolbar 2007-07-18 13:31 --------- d-------- F:\Program Files\NAPI-PROJEKT 2005-07-29 15:24:26 472 --sha-w F:\WINDOWS\R29zY2l1\lZ6WsZ5Y.vbs . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“F:\WINDOWS\System32\NvCpl.dll” [2005-04-01 16:16] “NvMediaCenter”=“F:\WINDOWS\System32\NvMcTray.dll” [2005-04-01 16:16] “SpeedTouch USB Diagnostics”=“F:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 11:38] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “AutoConnect”=“F:\Program Files\AutoConnect\AutoConnect.exe” [2004-08-28 20:27] “Winstn”=“winntdll329373.exe” [] [HKEY_USERS.default\software\microsoft\windows\currentversion\runonce] “RunNarrator”=Narrator.exe F:\DOCUME~1\ALLUSE~1\MENUST~1\Programy\AUTOST~1\ Microsoft Office.lnk - F:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 20:05:56] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “NoThumbnailCache”=1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “F:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” R2 SVKP;SVKP;??\F:\WINDOWS\System32\SVKP.sys R3 SiS7012;Service for AC’97 Sample Driver (WDM);F:\WINDOWS\System32\drivers\sis7012.sys S1 DIG_TS;Pinnacle PCTV Sat TS;F:\WINDOWS\System32\DRIVERS\dig_ts.sys S1 DIG_V;Pinnacle PCTV Sat Analog;F:\WINDOWS\System32\drivers\dig_v.sys . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-16 20:40:05 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … HKCU\Software\Microsoft\Windows\CurrentVersion\Run Winstn = winntdll329373.exe???F??? scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-09-16 20:40:47 - machine was rebooted F:\ComboFix-quarantined-files.txt … 2007-09-16 20:40 . — E O F —