jak se zbavit vira prakticky bez prostředků?
Reálná situace: dostal jsem se k PC, které je nakažené rootkitem - v System32\Drivers je soubor Winfs21.sys a v System32 je WinCtrl32.dll. Normálním způsobem samozřejmě smazat nejdou, jsou spuštěné a na něco zahákované a hlídají se navzájem. Sebou mám pouze flešku s programy Autoruns, Hijackthis a Ultimate Process Manager. Nic víc. Navíc na tom kompu je dodrbaná CDROMka, kdy nejde nabootovat. Normálně to řeším tak, že najedu z instalCD WinXP do konzoly, smažu ručně ten sys i dll a je vymalováno. Teď to nejde. Nemám ani přístup na net, takže nemůžu natáhnout nějaký další program. V UPM jsem vždy našel dllko, dal uvolnit a smazal, tohle ovšem v tomto případě nejde. Ani smazat po restartu nezabírá. Jak to udělat, znáte někdo UPM podrobněji? Dík za rady.
Co zkusit nouzový režim?
zkoušel jsem samozřejmě i nouzový režim, nejde to ani v něm.
Co to přesně hlásí?
Z hlavy neřeknu, teď u toho PC nejsem, ale matně vzpomínám, že tam byla hláška FALSE, soubor se nepodařilo smazat, je využíván jiným procesem (přibližně tohle)
HJT to neumí fixnout?
což o to, HJT to fixne, ale v ten moment je to v registrech znovu.
Stav nouze se systémem MS-DOS.
e-e, i pokud spustím safe s CMD oknem, tak to je spuštěný, mrcha
To není CMD okno, ale klasický příkazový řádek. A to mi neříkej, že tam je něco spuštěnýho navíc?!
Běží oba dva. Winfs21.sys má typ spouštění "kernel start" a Winctrl32.dll je navázané na winlogon; bohužel winlogon se spouští i v nouzáku s command promptem
Upozorňuji,
že tomu opět vůbec nerozumím, ale v UPM je v nástrojích možnost zmrazit proces a někde jsem pochytil info, že by se to mělo použít na takovéto případy. Nejdřív zmrazit, pak zavraždit. Zmrzlý hmyz se moc nebrání.
Vidíš, to s tím zmražením zkusím. To by mohlo vyjít, teď ještě někde sehnat ten rootkit, abych si to mohl vyzkoušet. Nevíte někdo, kde se to dá chytnout?
no neviem, pokial sa jedna o realny rootkit, tak zmrazenie nepomoze, pretoze v zozname procesov ho neuvidis
fajn hooklý.
nouzák: Hijack nebo UPM - vyhledat streamy (ADS) - smazat infikovaný stream.
prvně co potřebuješ je informace: kdo je matka, kde jsou dcery, jakou mají vazbu
čumil: mno, může pomoct i nemusí. Pokud je prevít ve streamu s třeba svchost - pokusí se program bloknout (zmrazit) svchost a to by byl hezký zážitek.
---
EDIT/ vynechávám prevíta, který trčí na clusterech a není zapsán ani v alokační tabulce. Takový taky jsou.
přiznám se, že alternate data stream mě vůbec nenapadl... nj, ale jak to ten šmejd dělá na FAT32, kde žádný ADS nejsou?
na FAT ADS nejsou - pouze na NTFS.
---
Výš píšeš, že se je zapsán v sekci winlogon. Knihovnu odhlaš z Autoruns / záložka winlogon
Druhá se spouští jako driver v kernel módu (ručně ji odjeb z registry, nebo použij pserv_cpl.html) - pořád hledej matku (nenápadná svině, která procesy hlídá a udržuje)
Zkoušel jsem samozřejmě i Autoruns, i ruční odjebání z registrů, i přejmenování klíče v registrech... Autoruns se tváří že ano, ovšem při znovunačtení je to tam zase. V registrech to hlásí nepovolený přístup, takže jsem zkoušel nastavit práva, nepovolí ani nastavení práv, podařilo se mi přepsat jméno toho winfs21 v path, ovšem jen naoko, po znovuspuštění regeditu se to opraví na původní hodnotu.
Tady jde o to, že prakticky selhávají veškeré mé osvědčené postupy, kdy jsem si vystačil pouze s UPM a Autoruns. BootCD použít nemůžu, jak jsem již výše psal.
Asi se naseru, vezmu sebou jinou cdrom a bude po ptákách, ale stejně by mě zajímalo, jestli to jde i bez ní. Jde mi o princip.
No co bych zkusil já:
pomocí procmon (který tam bohužel nemáš) bych číhal na udaném winlogon klíčí v registry a zaznamenal přístup komponent (při sledování bych ukončil vše co se dá, včetně explorer.exe)
procmon se dá nastavit na na logování od bootu.
odstranenie rootkitu z beziaceho systemu uz z principu je extremne obtiazne prip. nemozne, bez vhodnych prostriedkov prakticky nie je sanca
pre ilustraciu citujem z readme rootkitu hacker defender:
Q: Nekdo hacknul muj server, spustil hxdef a ted se ho nemuzu zbavit. Jak ho
mam odinstalovat a zbavit se vsech tech backdooru na mem serveru?
A: Jedine 100% reseni je reinstalovat Windows. Pokud toto nechcete delat,
bude muset najit inifile jako v otazce 1) vyse. Potom odinstalovat hxdef
ze systemu, projit jeho inifile a zkusit najit vsechny soubory, ktere se
nachazeji v jeho seznamech, proverit je a pripadne smazat.
hacker defender nie je zrovna novinka ale pre ilustraciu moznosti rootkitov je viac ako dostacujuci
pokial niekto chce experimentovat a nevie ho na nete zohnat, tak ho mozem poslat
po par pokusoch musi byt kazdemu jasne, ze doporucovat nudzovy rezim ako univerzalne riesenie je absolutne naivne a jedine prakticky pouzitelne riesenie, ktore moze(ale nemusi) viest k vysledku je scan z druheho systemu
Mel jsem nedavno neco podobnyho v MBR sektoru. Mam pocit, ze pomohl combofix. Zkus se zeptat na viry.cz, par lidi ti urcite dobre poradi.
Taky si myslím, že to bude něco v MBR. Osvědčil se mi mbr.exe, který umí rootkit detekovat i smazat z MBR, ale ještě je třeba něčím (pokud možno ihned potom) vyčistit jeho další součásti (např. dr web antivirus). Více info nejlépe asi na www.viry.cz (jak už bylo zmíněno). Jinak k tomu PC bych si asi donesl jinou mechaniku nebo bych vyndal celý HDD a odnesl si ho.
Mám instalačku AVG Rootkit Free, na webu AVG je už za prachy. Můžu hodit na web.
Zatím je všude jinde k dostání jako free. (slunecnice,...)