Jak se zbavit vejra? - poradna.net

Zdar všem, potřeboval bych popíchnout. Dostal se mi na stůl notes, kde je nastopro nějaký keylogger, ale nemůžu ho najít. Vytváří ve %windir%\temp tři soubory s názvy "rg4sfay", "xsw2" a "ydf8dk", přičemž ten "xsw2" jde bez problémů smazat a ty další dva jsou zamknuté procesem services.exe. UPM hlásí podvrženou cestu u services.exe, 3x svchost.exe a ještě dalších tří modulů (nepamatuju si teď u kterých). Pokud se kouknu na detaily třeba services.exe, smrdí tam modul [DLL]?. NOD32 ani AVG8 nehlásí nic, jiné AV jsem nezkoušel. Na netu jsem našel mj. tohle: http://www.threatexpert.com/report.aspx?md5=47cac0 9f83230dc52a953eb0e6728d74, další odkazy na googlu jsou IMHO zcestné, jelikož mluví o VUNDO trojanu, ale ten tam není, VundoFix nenašel nic. ComboFix jsem zkoušel, bez výsledku, smazal v System32 soubor mdm.exe, ale tím se nic nevyřešilo. Při restartu do nouzáku s příkazovým řádkem a následném spuštění UPM, není žádná podvržená cesta hlášená a soubory v tempu jdou normálně smáznout (samozřejmě že se pak v normálním režimu znovu vytvoří). Do souboru "rg4sfay" se ukládají přihlašovací jména a hesla, která zadám třeba na seznamu. Services.exe se snaží komunikovat po náhodném portu do netu (nevím kam). Napadlo mě nabootovat z live WinXP, bohužel jsem ho neměl s sebou. Zkusím to zítra, ale co tam mám vlastně hledat, kde ta mrcha může být? Dík za rady.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Inac aj skusit superantispyware (v nudzovom rezime !), videl som kdesi googlom ze superantispyware p… MM.. 03.04.2009 01:43	MM..	03.04.2009 01:43
ano, je to tak. Vyzkoušeno na "špionážním" programu pro sledování uživatele. Autoruns, Hijack, antiv… nový Zhouba 03.04.2009 06:48	Zhouba	03.04.2009 06:48
dost pravdepodobne je to nejake svinstvo, ktore na svoje maskovanie pouziva rootkit, v takom pripade… nový mkmt 03.04.2009 06:18	mkmt	03.04.2009 06:18
Zkus to na viry.cz. Na jednom pc jsem chytil neco podobnyho a byl to nejaky klon Vundo a presto to V… nový Radek 03.04.2009 07:20	Radek	03.04.2009 07:20
přihoď ten disk do druhého pc, a skenuj. každý výrobce av dnes nabízí nějaké rootkit hledátko. nový lední brtník 03.04.2009 08:39	lední brtník	03.04.2009 08:39
notesbook, IDE disk, bohužel jsem někde prodrbal redukci z 44 na 40 :-( takže budu muset najet z Bar… poslední mia 03.04.2009 08:49	mia	03.04.2009 08:49

Inac aj skusit superantispyware (v nudzovom rezime !), videl som kdesi googlom ze superantispyware podobne svinstvo spoznal.

ano, je to tak. Vyzkoušeno na "špionážním" programu pro sledování uživatele. Autoruns, Hijack, antivir atd. vůbec nic neb se maskoval jako rootkit. Jediný Superantispyware jej poznal a odstranil.

dost pravdepodobne je to nejake svinstvo, ktore na svoje maskovanie pouziva rootkit, v takom pripade v beziacom systeme nemusis nic zistit dokonca aj safe mode
skus pouzit napr. rootrepeal alebo rootkit unhooker
najlepsie je to oskenovat offline napr. z bartpe, dobra pomocka spustit autoruns z bartpe pomocou runscanner

Zkus to na viry.cz. Na jednom pc jsem chytil neco podobnyho a byl to nejaky klon Vundo a presto to Vundofix neodstranil. Nekdo mne tam poradil, ale resili jsme to pak soukrome. To "rg4sfay" mne neco rika, ale ty dalsi soubory jsem asi nemel. Neporadil si s tim zadny AV, jen KAV nejakou cast z toho smazal. Uz nevim jak se to odstranovalo, ale bylo to pomoci nejakych tech Iceswordu a neceho podobnyho. UPM mne taky hlasil podvrzeny cesty a nejhorsi je, ze nikdo nevi jak se to tam dostalo. Bylo to na pc, z kteryho se chodi akorat na seznam apod.

přihoď ten disk do druhého pc, a skenuj. každý výrobce av dnes nabízí nějaké rootkit hledátko.

notesbook, IDE disk, bohužel jsem někde prodrbal redukci z 44 na 40 takže budu muset najet z BartPE...

Zpět do poradny Odpovědět na původní otázku Nahoru