Rootkit remover
Hladam nieco s novou databazou a schopnostou odstranit posledne rootkity z xp. Dostal sa mi do ruku pc, ktory je kludny, antivir na nom nenajde nic, nevidim nic co nie je bezne ani v registroch, proste zlyhavaju vsetky bezne metody detekcie virusov a spyware a napriek tomu akonahlae pc dostane ip adresu spusti flood (maximum dosiahol 80Mb co som meral) a pokusa sa utocit na rozne servre. Ide asi o nejaky zombie skript a kedze ho nevidim tipujem, ze bude patrit medzi rootkity.
Po odsledovani iptrafom to vyzera, ze je pc kludne. Tcpview tiez nevykazuje uz nic neobvykle...hm uvidime.
Edit: tak este som nevyhral...po par minutach po boote bol v klude a potom poslal zopar http requestov na tuto jednu ip. Kazde cca 2min odosle 3 packety.
Momentalny postup je fw zastavit vsetky apliakcie pristupujuce na net, wiresharkom analyzovat packety, ktore posiela pc na rozne ip adresy (vzdy sa po restarte spoji ale len s jednou ip) a nasledne odstranenie nakazy (posledny krok ale neviem ako budem realizovat...najskor skusim ten sken neaktivneho systemu).
flegu dokazes zjistit co pristupuje na net? nebo je to "systemem"?
Je to samotny svchost. Podla vypisu z tcpview a proces explorera ho nespusta nikto iny, spusta sa sam. Svchost zmeneny nebude, ma rovnaky cas vytvorenia aj zmeny aj velkost do posledneho bajtu ako ten z cisteho systemu.
no hezky.
process explorerem by jsi mel urcit ktery svchost se pripojuje.
jelikoz to bill vymyslel idiotne tak muze blbnout "velky"svchost - to bys mel hledani navic.
----
support.microsoft.com zde jsou klice v registru kam se registruji sluzby pod svchost - pokusil bych se vyclenit sluzby na dulezite a zastavitelne.
pokud to dela svchost (rpc)-projet na blastera.
----
po urceni svchost v process exploreru najet na nej-spodni panel dll - najit neMS knihovny proverit,spodni panel - handly - zkusit stesti na pristup k netypickym objektum
---
svchost/vlastnosti/threads - pauznout prave pouzivane knihovny (jednu podruhy)tlacitkem suspend a zjistit ktera ze se to pripojuje - pri trose stesti vykoukne matka co ze to je s dcerou
edit//
to jsem nejak prehlidl,jak se spousti sam? on se sam spoustet nemuze - co ma nacmarany v registrech to spusti.jak sluzba je na nej napichnuta?
ked uz to chces robit silou mocou z beziaceho systemu a maz podozrenie na rootkit, tak process explorer skus pouzit v spolupraci s AntiHookExec, lebo ak naozaj ide o rootkit, tak samozrejme bude skryty aj pre process explorer
jedinym zpusoben jak odstranit rootkit je cista image operacniho systemu ( nebo pri trose snahy vymena celeho systemoveho kernelu )
tak tragicky by som to nevidel, aspon nie v kazdom pripade
Rootkit je kod, ktery "hackne" kernel a primo na urovni kernelu skryva sebe i kody ktere bezi v nem. Neuvidis ho ve spravci uloh, v po spusteni. Takovy maly virtualni pocitac, jeho procesy v hostovem systemu take nevidis. Jak se jednou spusti, nedostanes ho pryc, Dekujeme firme sony za tento skvely nastroj.
mne nemusis vysvetlovat co je rootkit, rootkity boli nasadene davno predtym ako boli aplikovane SONY, napriek tomu existuju pomerne efektivne sposoby ako ich odhalit
sonny nebyla prvni.svuj "prvni"antirootkit jsem videl jeste u starejch foundstonaku-to jeste nebyl v rozjezdu ani poradnej makrovir-takze je to taky pomerne stary reseni.
Když ti nevyhovuje AVG Rootkit a je jedno, zda mu věříš nebo ne
+ další rootkit removery z příspěvků výše, tak asi bude nejlepší
přeinstalovat Win. Už tak jsi ztratil spoustu času.