Wątek: Znalazłem rootkita, dylemat - co dalej ?

[Kelso]

Zaznaczam od razu, że komputer/system/programy pracują bez zarzutu. Coś mnie po prostu natchnęło i przeskanowałem dysk programami: Sophos Anti-Rootkit v.1.3 i v.1.3.1 RC (najnowsza, jeszcze nie wersja stabilna), które nie znalazły nic. Z kolei program AVG Anti-Rootkit Free v.1.1.0.42 za każdym skanem znajduje coś takiego: D:\Windows\System32\Drivers\ayhcv27i.SYS pisząc, że jest to "Hidden driver file" i klasyfikując go jako rootkita do usunięcia. Jakiś czas temu (ze 2 miesiące) skanowałem dysk tym programem i nie znajdował nic podejrzanego. Mój dylemat bierze się stąd, że w podanej lokalizacji nie ma takiego pliku (oczywiście opcja - pokaż pliki ukryte/systemowe jest włączona) i jakoś nie ufam do końca tej diagnozie. Podejrzewam też, że może to być część składowa programu Daemon Tools (mimo swej niewidzialności). Google nie znajduje żadnej informacji o takim pliku. Co o tym sądzicie i radzicie ? Jak zobaczyć ewentualnie to "coś" ?

[Ger0nim0]

Zrobić obraz dysku partimagiem, potem skasować plik, jak nic złego się nie będzie działo to znaczy że zrobiłeś dobrze, jak coś się posypie masz backup.

[rutkov]

No tak ale on jest chyba "hidden" Miałem coś takiego kiedyś ale inny antyvir czyli AVG z funkcją antyrootkit nie pokazywał nic a że wszystko działało dałem sobie spokój. Nie należy przesadzać z tą robaczywością, może to tylko Pentagon sprawdza czy dobrze śpicie Kelso .

[lukasz-h]

Jest możliwość całkowitego ukrycia plików, że nawet TC tego nie zobaczy...
Ściągnij program hijackthis i przeanalizuj jego log

[Kelso]

Sprawa nabiera rumieńców. Po każdym restarcie systemu, wykrywany jako rootkit plik zmienia (losowo) nazwę. Samo to jest już mocno podejrzane. Kiedy zainstalowałem AVG Anti-Rootkit Free w drugim systemie jaki posiadam na komputerze (Win 2000), nic nie wykrył na partycji z Win XP. Świadczy to wg mnie o tym, że "coś" startuje razem z XP, a ów tajemniczy plik jest mu niezbędny do działania. OK - zrobiłem kopię partycji i kazałem programowi usunąć dziada. Po wymaganym restarcie program pogratulował mi usunięcia zagrożenia, ale przy ponownym skanowaniu znowu wykrył rootkita (oczwiście pod inną nazwą). Tutaj kończą się już moje pomysły. Czy ktoś z Was potrafi przeanalizwać log z hijackthis ? Jeśli nie, to może wiecie gdzie można kogoś o to poprosić ?

[Glebas]

... to może wiecie gdzie można kogoś o to poprosić ?

http://forum.dobreprogramy.pl/viewforum.php?f=16&sid=35e199075cb56c91af700e48d7b695b8

 

[lukasz-h]

Zobacz jeszcze ten program:
http://download.sysinternals.com/Files/RootkitRevealer.zip
Jak możesz to wrzuć loga z hijackthis i RootkitRevealer, może coś wspólnie wykombinujemy.

[jurekt49]

Czy ktoś z Was potrafi przeanalizwać log z hijackthis ? Jeśli nie, to może wiecie gdzie można kogoś o to poprosić ?

Loga z HiJacka wklej tutaj -->  http://www.hijackthis.de/index.php#anl
i kliknij "Analyze"

[Kelso]

Dzięki za zainteresowanie  , ale po lekturze kilku artykułów o rootkitach czuję, że nie będzie lekko. Czekam na aktywację konta na forum Dobre Programy (dzięki Glebas za wskazówkę), ale coś mi się wydaje, że nawet tamtejsze wygi nie pomogą. Co do programu polecanemu przez lukasz-h  -  RootkitRevealer, przeczytałem dosyć alarmującą o nim opinię, więc sobie daruję. Żeby nie być gołosłownym - cytat "Radze nieodpalać tego programu. Już na starcie ładuje dwa klucze (+2 następne pod inną losową nazwą przy każdym ponownym uruchomieniu programu) do rejestru które nie można usunąć nawet spod trybu awaryjnego + usługe.
Ja odpaliłem ten program (po jakimś czasie windows wywalił komunikat że program spowodował błąd) i mało co i bym stracił wszystkie dane na wszystkich partycjach. (eksplorator widział pliki ale program PerfectDisk i Defragmentator dysków sypał pełno błędów i nic niewidział tak samo PartitionMagic)
Uruchomiłem RootkitRevealer ponownie i było oki (skanowało się 2H) ale coś mi zajmowało dodatkowo ramu, to sterownik jaki program ładuje przez klucze tworzone w rejestrze.
moje partycje to: 3x po FAT32, 1 x NTFS i Linuxowe ext3,SWAP na końcu (tworzone przy pomocy partition magic8)
Klucze utworzone przez RootkitRevealer udało mi się usunąć dopiero po ustanowieniu praw specjalnych dla mojego konta Admina (prawy_klik_na_kluczu>uprawnienia) (usługa też zniknęła i miejsce w ramie powróciło które to coś zajmowało), nie jestem pewien czy kompletnie wszystko usunołem.
Nie polecam uruchamiać tego programu, chyba że ktoś chce stracić kilka godz. na szukanie kluczy i walke z usunięciem tego programu z systemu albo ryzykować utratą danych. (z resztą w readme.txt autor ostrzega że nie ponosi żadnej odpowidzialności za uszkodzenia wywołane przez ten program) (no i wiem w końcu poco mu te uprawnienia admina do odpalenia)" oraz "Nie polecam u mnie też już narozrabiał co jakiś czas znikają mi części programów może ktoś wie co z tym zrobić jak go odinstalować ?"

Dla pasjonatów i osób potrafiących to zinterpretować log z programu hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:51:46, on 2007-09-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
E:\Program Files\A4Tech\Mouse\Amoumain.exe
E:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
E:\Program Files\Nod32\nod32kui.exe
E:\Program Files\cFosSpeed\spd.exe
E:\program files\powerstrip\pstrip.exe
E:\Program Files\cFosSpeed\cFosSpeed.exe
E:\Program Files\Logitech\Profiler\lwemon.exe
E:\Program Files\Nod32\nod32krn.exe
E:\Program Files\SpeedFan\speedfan.exe
D:\WINDOWS\system32\svchost.exe
E:\Program Files\Netropa\Onscreen Display\OSD.exe
E:\Program Files\Opera 9.5 alpha\Opera.exe
E:\Program Files\Totalcmd\totalcmd.exe
E:\Program Files\Hijack 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\PROGRAM FILES\FLASHGET\jccatch.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~1\SPYWAR~1\TOOLS\iesdsg.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\PROGRAM FILES\FLASHGET\getflash.dll
O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll
O4 - HKLM\..\Run: [WheelMouse] "E:\Program Files\A4Tech\Mouse\Amoumain.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] "E:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe"
O4 - HKLM\..\Run: [nod32kui] "E:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PowerStrip] e:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [cFosSpeed] E:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "E:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [speedfan.exe] "E:\Program Files\SpeedFan\speedfan.exe"
O4 - Startup: Sagem Fast 800.lnk = ?
O4 - Startup: Domyślne Karta.lnk = E:\Program Files\PowerStrip\PStrip.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - E:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - E:\PROGRAM FILES\FLASHGET\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll
O9 - Extra 'Tools' menuitem: @E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - E:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRAM FILES\FLASHGET\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRAM FILES\FLASHGET\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{C88BA479-34C8-4223-BE49-7DB5A5716D15}: NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: CLKERN.DLL
O20 - Winlogon Notify: klogon - D:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - E:\Program Files\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - E:\Program Files\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Program Files\Ewido anti-spyware 4.0\guard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - E:\Program Files\Nod32\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - E:\Program Files\Spy Sweeper\SpySweeper.exe


Będę wdzięczny za dalsze podpowiedzi - może wspólnie coś osiągniemy 

[jurekt49]

W twoim logu nie widzę nic niepokojącego. No cóż, rootkity ukrywaja zainfekowane pliki czy procesy.
Spróbuj tego narzędzia - System Virginity Verifier - oto link:  http://www.poradykomputerowe.pl/bezpieczenstwo_komputera/wykrywanie_rootkitow_narzedziem_system_virginity_verifier-141.html

[lukasz-h]

Co do RootkitRevealer to pierwszy raz słysze o takich problemach. U mnie działa normalnie...

Zresztą nawet Microsoft ma go w swojej bazie narzędzi http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx

[Kelso]

Po wykonaniu logów za pomocą kilku programów wygląda, że to fałszywy alarm  . Padła nawet sugestia, że to może być składnik któregoś z programów zabezpieczających (ja typuję Kasperskiego 7 - ma on też wykrywać rootkity, a maskuje się przed nimi zachowując podobnie jak one). Skończyło się na strachu (oby), a ja przy okazji poznałem kilka ciekawych narzędzi i programów. Na koniec mała prośba do forumowiczów: jeśli ktoś używa Kaspersky Anti Virus 7 lub Spy Sweeper 5, to proszę o pobranie darmowego programiku (malutki) AVG Anti-Rootkit Free v.1.1.0.42 np stąd: http://dobreprogramy.pl/index.php?dz=2&t=55&id=2181 i wykonanie skanu (zajmie to nie dłużej niz 5 min.). Podobny wynik uspokoiłby ostatecznie moje obawy.

[lukasz-h]

Mam Kaspersky Internet Security 6.0, ale AVG Anti-Rootkit Free v.1.1.0.42 nic mi nie znalazł.

[Kelso]

Chyba dopiero Kaspersky 7 wykrywa rootkity. Dzięki za poświęcenie  .

[yaros]

W sumie, to jeżeli masz kupionego tego kasperskiego, to chyba nic prostszego tylko zapytać w pomocy technicznej jak to jest z tym rootkitem