Rootkit remover
Hladam nieco s novou databazou a schopnostou odstranit posledne rootkity z xp. Dostal sa mi do ruku pc, ktory je kludny, antivir na nom nenajde nic, nevidim nic co nie je bezne ani v registroch, proste zlyhavaju vsetky bezne metody detekcie virusov a spyware a napriek tomu akonahlae pc dostane ip adresu spusti flood (maximum dosiahol 80Mb co som meral) a pokusa sa utocit na rozne servre. Ide asi o nejaky zombie skript a kedze ho nevidim tipujem, ze bude patrit medzi rootkity.
http://free.grisoft.com/doc/download-free-anti-root kit/us/frt/0
Avg poznam a moc mu neverim (testoval som asi pred pol rokom a neoslnil ma teda 2x).
skus urobit scan z druheho systemu, ak rootkit nie je aktivny, nema sa ako maskovat, kontrola zo ziveho systemu nebude nikdy dostatocne ucinna
Yo je trosku kontraproduktivne. V mrtvom systeme nemusi byt detekcny nastroj uspesny. Ak sa totizto pouziva pri detekcii heuristika je to to iste ako pri virusoch. Na mrtvom system neodhali antivir vsetky virusy v pripade heuristiky.
Inak asi momentalne prebieha nejaky ddos utok lebo pc nemal ani pripojenie do netu a hned startoval utok proti roznym ip. Nasiel som zatial exac naviazany na svchost ale aj po jeho odstraneni pc vyvija aktivitu (malu sice ale este vyvija).
rootkit vsak nie je virus, vo vacsine pripadov sa pouzije na zakrytie, pritomnosti samotneho virusu, ak nie je aktivny, tak je takmer vzdy lahko odhalitelny, rovnako bude viditelne aj miesto spustenia v registroch, ktore samozrejme zakryva tiez
techniky rootkitov sa neustale vyvijaju, a offline scan je prakticky jedina istota
typickym pripadom je Hacker defender, ktory svojho casu nedetekoval ziadny antivirak a jedina moznost zistenia bol offline scan pripadne vypis beziacich procesov napadnuteho PC zo vzdialenej masiny
Ja nazyvam spyware, virusy, rootkity a vsetku tu haved virusmi lebo rozdiel medzi nimi nevidim. Doteraz nechapem preco sa este oddeluje spyware od virusov ked uz imho davno splynuli v jedno.
lenze rootkit je uplne nieco ine ako virus
rootkit manipuluje so systemom samotnym, preto je ovela tazsie detekovatelny ako virus a v pripade, ze bezi nie je nijaka zaruka ze bude odhaleny
Roorkit je tiez virus akurat ze napada system na urovni kernelu, na co si bezne virusy "netrufaju". Ale to je len slovickarenie, takze to nechajme tak;o).
tak - to by se totiz muselo laborovat co to je vlastne ten virus? vzdyt to muze byt i prikaz del ze ?
potom tazko radit
zkusil bych standardni RootkitRevealer ktery porovna bitovou kopii a to co je v alokacni tabulce pokud veris na rootkit + vymazat kompletne ADS
testnout chovani a povahu nakazy a tu googlovat
Po odsledovani iptrafom to vyzera, ze je pc kludne. Tcpview tiez nevykazuje uz nic neobvykle...hm uvidime.
Edit: tak este som nevyhral...po par minutach po boote bol v klude a potom poslal zopar http requestov na tuto jednu ip. Kazde cca 2min odosle 3 packety.
Momentalny postup je fw zastavit vsetky apliakcie pristupujuce na net, wiresharkom analyzovat packety, ktore posiela pc na rozne ip adresy (vzdy sa po restarte spoji ale len s jednou ip) a nasledne odstranenie nakazy (posledny krok ale neviem ako budem realizovat...najskor skusim ten sken neaktivneho systemu).
flegu dokazes zjistit co pristupuje na net? nebo je to "systemem"?
Je to samotny svchost. Podla vypisu z tcpview a proces explorera ho nespusta nikto iny, spusta sa sam. Svchost zmeneny nebude, ma rovnaky cas vytvorenia aj zmeny aj velkost do posledneho bajtu ako ten z cisteho systemu.
no hezky.
process explorerem by jsi mel urcit ktery svchost se pripojuje.
jelikoz to bill vymyslel idiotne tak muze blbnout "velky"svchost - to bys mel hledani navic.
----
support.microsoft.com zde jsou klice v registru kam se registruji sluzby pod svchost - pokusil bych se vyclenit sluzby na dulezite a zastavitelne.
pokud to dela svchost (rpc)-projet na blastera.
----
po urceni svchost v process exploreru najet na nej-spodni panel dll - najit neMS knihovny proverit,spodni panel - handly - zkusit stesti na pristup k netypickym objektum
---
svchost/vlastnosti/threads - pauznout prave pouzivane knihovny (jednu podruhy)tlacitkem suspend a zjistit ktera ze se to pripojuje - pri trose stesti vykoukne matka co ze to je s dcerou
edit//
to jsem nejak prehlidl,jak se spousti sam? on se sam spoustet nemuze - co ma nacmarany v registrech to spusti.jak sluzba je na nej napichnuta?
ked uz to chces robit silou mocou z beziaceho systemu a maz podozrenie na rootkit, tak process explorer skus pouzit v spolupraci s AntiHookExec, lebo ak naozaj ide o rootkit, tak samozrejme bude skryty aj pre process explorer
jedinym zpusoben jak odstranit rootkit je cista image operacniho systemu ( nebo pri trose snahy vymena celeho systemoveho kernelu )
tak tragicky by som to nevidel, aspon nie v kazdom pripade
Rootkit je kod, ktery "hackne" kernel a primo na urovni kernelu skryva sebe i kody ktere bezi v nem. Neuvidis ho ve spravci uloh, v po spusteni. Takovy maly virtualni pocitac, jeho procesy v hostovem systemu take nevidis. Jak se jednou spusti, nedostanes ho pryc, Dekujeme firme sony za tento skvely nastroj.
mne nemusis vysvetlovat co je rootkit, rootkity boli nasadene davno predtym ako boli aplikovane SONY, napriek tomu existuju pomerne efektivne sposoby ako ich odhalit
sonny nebyla prvni.svuj "prvni"antirootkit jsem videl jeste u starejch foundstonaku-to jeste nebyl v rozjezdu ani poradnej makrovir-takze je to taky pomerne stary reseni.
Když ti nevyhovuje AVG Rootkit a je jedno, zda mu věříš nebo ne
+ další rootkit removery z příspěvků výše, tak asi bude nejlepší
přeinstalovat Win. Už tak jsi ztratil spoustu času.