Jak se zbavit vejra? - poradna.net

Zdar všem, potřeboval bych popíchnout. Dostal se mi na stůl notes, kde je nastopro nějaký keylogger, ale nemůžu ho najít. Vytváří ve %windir%\temp tři soubory s názvy "rg4sfay", "xsw2" a "ydf8dk", přičemž ten "xsw2" jde bez problémů smazat a ty další dva jsou zamknuté procesem services.exe. UPM hlásí podvrženou cestu u services.exe, 3x svchost.exe a ještě dalších tří modulů (nepamatuju si teď u kterých). Pokud se kouknu na detaily třeba services.exe, smrdí tam modul [DLL]?. NOD32 ani AVG8 nehlásí nic, jiné AV jsem nezkoušel. Na netu jsem našel mj. tohle: http://www.threatexpert.com/report.aspx?md5=47cac0 9f83230dc52a953eb0e6728d74, další odkazy na googlu jsou IMHO zcestné, jelikož mluví o VUNDO trojanu, ale ten tam není, VundoFix nenašel nic. ComboFix jsem zkoušel, bez výsledku, smazal v System32 soubor mdm.exe, ale tím se nic nevyřešilo. Při restartu do nouzáku s příkazovým řádkem a následném spuštění UPM, není žádná podvržená cesta hlášená a soubory v tempu jdou normálně smáznout (samozřejmě že se pak v normálním režimu znovu vytvoří). Do souboru "rg4sfay" se ukládají přihlašovací jména a hesla, která zadám třeba na seznamu. Services.exe se snaží komunikovat po náhodném portu do netu (nevím kam). Napadlo mě nabootovat z live WinXP, bohužel jsem ho neměl s sebou. Zkusím to zítra, ale co tam mám vlastně hledat, kde ta mrcha může být? Dík za rady.

Předmět	Autor	Datum
Zacal by som hijackthis a hladat v logu nezvycajne veci. A najprv msconfig a skontrolovat kazdu polo… MM.. 03.04.2009 01:17	MM..	03.04.2009 01:17
Díky, MM, HJT jsem projel jako první (nic, nic, zhola nic...), další byl Autoruns od Sysinternals (t… mia 03.04.2009 01:30	mia	03.04.2009 01:30
Ono napisat "nic" je dost silne slovo, nieco tam bolo otazka je len ci boli vsetky ok alebo nebol me… MM.. 03.04.2009 01:49	MM..	03.04.2009 01:49
Inac aj skusit superantispyware (v nudzovom rezime !), videl som kdesi googlom ze superantispyware p… MM.. 03.04.2009 01:43	MM..	03.04.2009 01:43
ano, je to tak. Vyzkoušeno na "špionážním" programu pro sledování uživatele. Autoruns, Hijack, antiv… Zhouba 03.04.2009 06:48	Zhouba	03.04.2009 06:48
dost pravdepodobne je to nejake svinstvo, ktore na svoje maskovanie pouziva rootkit, v takom pripade… mkmt 03.04.2009 06:18	mkmt	03.04.2009 06:18
Zkus to na viry.cz. Na jednom pc jsem chytil neco podobnyho a byl to nejaky klon Vundo a presto to V… Radek 03.04.2009 07:20	Radek	03.04.2009 07:20
přihoď ten disk do druhého pc, a skenuj. každý výrobce av dnes nabízí nějaké rootkit hledátko. lední brtník 03.04.2009 08:39	lední brtník	03.04.2009 08:39
notesbook, IDE disk, bohužel jsem někde prodrbal redukci z 44 na 40 :-( takže budu muset najet z Bar… poslední mia 03.04.2009 08:49	mia	03.04.2009 08:49

Zacal by som hijackthis a hladat v logu nezvycajne veci. A najprv msconfig a skontrolovat kazdu polozku na karte "po spusteni" (najst si prislusne exe, pravy klik - vlastnosti & google. P.S> msconfig a aj vsetky pokusy o antiviry atd spustat vyhradne v nudzovom rezime, ked to svinstvo nebezi, aby sa nemohlo aktivne utajovat.

Díky, MM, HJT jsem projel jako první (nic, nic, zhola nic...), další byl Autoruns od Sysinternals (tak samo nic...). Spíš se mi to jeví jako nějaký driver. S tím už jsem se setkal. Zítra zkusím vykopírovat někam bokem obsah system32\drivers a pak ho porovnat s tím, co tam bude po najetí livka. Není to tak dávno, co jsem na jednom kompu likvidoval "tdssserv.sys" (dost nepříjemný rootkit, za běhu je skrytý a zamezuje mj. přístup k AV aktualizacím), ale to byla sranda proti tomu, co jsem dělal dnes

edit:// či vlastně včera, jaxe tak dívám už je po půlnoci

Ono napisat "nic" je dost silne slovo, nieco tam bolo otazka je len ci boli vsetky ok alebo nebol medzi nimi vir, treba poriadne kontrolovat aj samotne subory kam to odkazuje, nie pozerat len nazvy. Napr. zavadne moze byt (resp. JE) aj nieco taketo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System

Ten tvoj link prinasa dost info, teoreticky si mozes v nudzaku aj urobit MD5 vsetkych suborov na disku a porovnat s tym co tam pisali , alebo hladat subory ktore maju presne 161 155 bytov - spustis si na C:\ prikaz: dir /s >a.txt a hladas v a.txt retazec 161 155 :). Mozno aj hladat googlom tie nazvy co tam na tom tvojom linku k tomu su, napr. "sinowal" (pozor moze byt viac roznych a pozor netahat bezhlavo nech tam nenatahas dalsie viry s nazvom "super neviemjaky removal tool" - to je urcite vir ! Tahat len overene veci, skusit superantispyware).

Inac aj skusit superantispyware (v nudzovom rezime !), videl som kdesi googlom ze superantispyware podobne svinstvo spoznal.

ano, je to tak. Vyzkoušeno na "špionážním" programu pro sledování uživatele. Autoruns, Hijack, antivir atd. vůbec nic neb se maskoval jako rootkit. Jediný Superantispyware jej poznal a odstranil.

dost pravdepodobne je to nejake svinstvo, ktore na svoje maskovanie pouziva rootkit, v takom pripade v beziacom systeme nemusis nic zistit dokonca aj safe mode
skus pouzit napr. rootrepeal alebo rootkit unhooker
najlepsie je to oskenovat offline napr. z bartpe, dobra pomocka spustit autoruns z bartpe pomocou runscanner

Zkus to na viry.cz. Na jednom pc jsem chytil neco podobnyho a byl to nejaky klon Vundo a presto to Vundofix neodstranil. Nekdo mne tam poradil, ale resili jsme to pak soukrome. To "rg4sfay" mne neco rika, ale ty dalsi soubory jsem asi nemel. Neporadil si s tim zadny AV, jen KAV nejakou cast z toho smazal. Uz nevim jak se to odstranovalo, ale bylo to pomoci nejakych tech Iceswordu a neceho podobnyho. UPM mne taky hlasil podvrzeny cesty a nejhorsi je, ze nikdo nevi jak se to tam dostalo. Bylo to na pc, z kteryho se chodi akorat na seznam apod.

přihoď ten disk do druhého pc, a skenuj. každý výrobce av dnes nabízí nějaké rootkit hledátko.

notesbook, IDE disk, bohužel jsem někde prodrbal redukci z 44 na 40 takže budu muset najet z BartPE...

Zpět do poradny Odpovědět na původní otázku Nahoru