Archief - De topics van lang geleden

rootkit shit

05-07-2006, 10:54 door Anoniem, 22 reacties
zit al een weekje met één of ander rootkit probleem,
blijft zich maar overal verstoppen...

laatste gmer verslag:

---- System - GMER 1.0.10 ----

SSDT SystemRootsystem32driversfwdrv.sys
ZwClose
SSDT SystemRootsystem32driversfwdrv.sys
ZwCreateFile
SSDT SystemRootsystem32driversfwdrv.sys
ZwCreateKey
SSDT SystemRootsystem32driversfwdrv.sys
ZwCreateProcess
SSDT SystemRootsystem32driversfwdrv.sys
ZwCreateProcessEx
SSDT SystemRootsystem32driversfwdrv.sys
ZwCreateThread
SSDT SystemRootsystem32driversfwdrv.sys
ZwDeleteFile
SSDT SystemRootsystem32driversfwdrv.sys
ZwDeleteKey
SSDT SystemRootsystem32driversfwdrv.sys
ZwDeleteValueKey
SSDT SystemRootsystem32driverskhips.sys
ZwLoadDriver
SSDT SystemRootsystem32driverskhips.sys
ZwMapViewOfSection
SSDT SystemRootsystem32driversfwdrv.sys
ZwOpenFile
SSDT SystemRootsystem32driversfwdrv.sys
ZwOpenKey
SSDT SystemRootsystem32driversfwdrv.sys
ZwResumeThread
SSDT SystemRootsystem32driversfwdrv.sys
ZwSetInformationFile
SSDT SystemRootsystem32driversfwdrv.sys
ZwSetValueKey
SSDT SystemRootsystem32driversfwdrv.sys
ZwWriteFile

---- Processes - GMER 1.0.10 ----

Process logonui.exe (*** hidden *** )
1332 <-- ROOTKIT !!!
Process C:WINDOWSSystem32TELEXS~1.SCR (*** hidden
*** ) 2424 <-- ROOTKIT !!!

---- Files - GMER 1.0.10 ----

File C:System Volume Information_restore{AACF2F60-8D78-4AC3-
B33C-59DE1D4E4082}
File C:System Volume Information_restore{AEF785A7-AA42-4629-
B93D-807A7B16A7F3}
File D:System Volume Information_restore{AEF785A7-AA42-4629-
B93D-807A7B16A7F3}

---- EOF - GMER 1.0.10 ----

ni zo makkelijk op te lossen door een pc prutser...

alle hulp is welkom
Reacties (22)
05-07-2006, 11:23 door SirDice
Schakel System Restore uit.. En boot naar safe mode.. Dan
nog eens scannen..

GMER ken ik overigens niet...

http://www.sysinternals.com/Utilities/RootkitRevealer.html
05-07-2006, 11:25 door robertoh
een deel van de oplossing zie ik zitte;

- de shit in de herstelbestanden: systeemherstel uit & reboot
systeemherstel aan & reboot
- het geinfecteerde bestand - telex screensaver verwijderen
- en dan ?????

- paar rootkit remove progs geprobeerd zonder succes
( oa: f secure blacklight, aries rootkit kill, unhack me, klister kernell rootkit
remover, RKDETECTOR v2.0 BETA1, ... )
ofwel lopen deze vast ofwel vinden ze niets of kunnen niet herstellen

ni zo makkelijk

big thanks 4 any help
05-07-2006, 11:30 door SirDice
Als ze niets vinden waarom denk je dan dat je een rootkit hebt?

En als ze wat vinden, wat wordt er gevonden dan?

Kijk ook eens met HijackThis en/of Ewido.

NB Pas op met "obscure" scanners! Deze bevatten vaak malware.
Scan met Rootkit Revealer. Die is te vertrouwen.
05-07-2006, 12:10 door SirDice
Oh, nog even verder gekeken...

logonui.exe is een normaal windows bestand..
fwdrv.sys is een onderdeel van de Kerio Personal Firewall

M.a.w. je hebt geen rootkit. Vandaar dat je 'm niet kan vinden/verwijderen.
05-07-2006, 12:32 door robertoh
;o)

mijn admin rechten verdwijnen plots
bepaalde bestanden worden onzichtbaar
& ontoeganklijk
taakbeheer was niet meer te openen
verschillende toepassingen liepen vast
bestanden werden gewijzigd op momenten waarop
geen abnormale CPU -gebruik werd vastgesteld

en zo nog wat leuke dingen..

heb er ffie een pcsmarty naar laten kijken & die kwam met dat idee ..
virus scanners vonden niks abnormaal & rare dingen bleven duren..

Hij mij verteld dat dit zich bevond voor het besturingssysteem & daarmee
klassieke virusscanners geen rare dingen vonden ..

Durf wel is iets te downloaden, wat beta versies te testen & wat funky
software te proberen ...

dacht dat het daar beetje van kwam ..

thanks 4 the good tips SirD

btw, IceSword ook fijn progske voor op alles wat zicht te houden
Muchos gracias
05-07-2006, 13:30 door SirDice
Heb je al eens een chkdsk uitgevoerd? Misschien dat je schijf gewoon "op" is. Bad sectors kunnen ook voor rare effecten zorgen.. Een IDE schijf met bad sectors moet zo snel mogelijk vervangen worden.

Een andere mogelijkheid is defect geheugen. Daar gaat'ie ook vrij raar van doen.
05-07-2006, 13:53 door Anoniem
Ik zou gewoon de system files van de originele windows cd terugplaatsen
mits je geen encryptie hebt gebruikt. Dus wel ff booten dmv een opstartcd
met wellicht een ander OS. (ERD?Linux?,BartPe.)

En hierna ff een system restore van je registry van een aantal maanden
geleden
05-07-2006, 14:28 door robertoh
Misschien doet ie wel zo raar omdat er met dit warme weer

constant halfnaakte playmates rond de pc huppelen??

Go bunny, go bunny ;o)

we fixen dat wel,

begon op een moment al paranoia te denken:
Sony eind 2005 proces gehad voor het meeleveren van rootkits
als verborgen prog met audio cd's ..
.. ik download al is graag een liedje & ik zit vrolijk op een sony
vaio te tokkelen ...

Big brother's watching me ;o)

btw; Originele windows cd?
heb 2 windows door elkaar geknutseld na't verwijderen van
een paar (essentiele) .dll bestanden

there ain't a problem we can't fix, ...
05-07-2006, 15:55 door SirDice
btw; Originele windows cd?
heb 2 windows door elkaar geknutseld na't verwijderen van
een paar (essentiele) .dll bestanden
Zolang ze beiden dezelfde versie (home vs. pro, sp1 vs. sp2
etc) zijn (ook qua taal) mag dat geen problemen opleveren.
06-07-2006, 18:42 door G-Force
Probeer eens met de [color=blue]BLACKLIGHT ROOTKIT ELIMINATOR
[/color] van F-secure de zaak op te ruimen.

Deze Rootkit killer is hieronder te downloaden:
http://www.f-secure.com/exclude/blacklight/index.shtml
07-07-2006, 02:51 door Anoniem
Format c:/ of wippen die harddrive.

Beste methode, als je denkt een rootkit te hebben !!!


Als je tenmiste zeker wil zijn voor 100%
07-07-2006, 08:20 door Anoniem
Rootkits zijn over het algemeen niet te traceren binnen in het systeem. De
pest van rootkits is dat in de kernel, library of applicatie niveaus kunnen
draaien en zich hidden maken. Wanneer een (goede) rootkit zich eenmaal
in je computer heeft genesteld zal dit ten alle tijden een vertekend beeld
laten zien van je computer. Zo zal hij zichzelf hidden maken in je register,
taskmanager en je windows verkenner. Derhalve kan je pc nu bv uitmaken
van een botnetwerk. Zoek maar eens op de rootkit Hacker Defender rootkit
bij google en klik op de megasecurity link.. Over het algemeen wordt
hiervoor 1 oplossing gebruikt en dat is de boel formateren, helaas.
Hacker Defender is een rootkit die je kan kopen en geeft de garantie dat
deze niet wordt gedetecteerd door de huidige generatie rootkit scanners.
Indien dit toch gebeurt krijg je een nieuwe versie van de rootkit...stel je
maar eens voor hoe de toekomst eruit gaat zien wanneer een rootkit de
payload zal gaan worden van een worm zoals sasser en daarbij
polymorphic wordt.
Onthoudt:
Once a bad guy compromises your computer it isnt your computer
anymore.
08-07-2006, 01:01 door Leopard
een firewall kan toch als een preventieve maatregel
beschouwd worden, toch?
08-07-2006, 17:18 door robertoh
bedankt voor alle reacties,

heb 101 anti rootkit progs geprobeerd,
draai op dit moment 99 security progs

&

voor 99 % loopt alles vlot
enkel de functietoetsen zijn nu weer fucked

zoals bepaalde mensen hier beweren
denk ik dat de enige 100 % cleane oplossing
format C: is ..

De pc blijft werken maar je kan nooit de rootkit zelf volledig vinden,
enkel de gevolgen ervan.
Het onderscheiden van geinfecteerde en juiste bestanden is ni altijd
simpel..
Geinfecteerde betsanden & services zijn ook steeds als verborgen,
niet-verwijderbaar & niet aanpasbaar weergegeven.
Als je ze al kan vinden, kan je ze enkel via een omwegje stoppen
- nieuwe gebruiker aanmaken
- systeemherstel ffie uitschakelen
- rootkit removers gebruiken
- ...

Good luck 2 aan iedereen die er ooit mee zit,
heb alle data op mijn pc via een externe schijf geback uped
en zal me binnenkort is ammuseren met Format C ...
ma'k geef me nogni gewonnen ;o)

thx 4 everything
a lot of skilled people in this forum
08-07-2006, 22:16 door G-Force
Beste Roberto,

Inderdaad als het zo gesteld is met je systeem, is formateren
wel de enige optie. Je bent meteen van een heleboel rotzooi verlost.

Ik wens je heel veel succes.
09-07-2006, 22:29 door Endorian_Blizzard
Een firewall zal hierin geen oplossing bieden. Ik heb tijdens mijn post (07
juli 2006 08:20) over de rootkit nog geen inlognaam aangemaakt. Nu
inmiddels wel. Zoals ik boven al vermeld is het probleem met rootkits dat
de bestanden worden aangepast en hierdoor een vertekent beeld op je
beeldscherm geven. (Een scan geeft false positives of worden gewoon
weggelaten.) Ook ethereal (lees Wireshark) geeft hierin denk ik verkeerde
informatie. Het enige waar je het aan zou kunnen merken is wanneer je je
computer niet gebruikt maar wanneer je HD toch begint te rammelen. Je
PC zou dan uit kunnen maken van een zombienetwerk of fungeren als
webserver voor bv. KP-sites... Of je dan ook strafbaar daarvoor bevonden
kan worden weet ik eigenlijk niet, Tonino is toen vrijuitgegaan wegens
ontwetendheid maar toch...
10-07-2006, 09:26 door Anoniem
Nu heb ik weinig kaas gegeten van Rootkits.
Maar als hier jongens een gebrande DVD op tafel leggen,die pas
maanden later uitkomt dan kun je er op rekenen dat onder het drinken
van een pilsje,mijn DVD station effe aan het werk is.
Kan ik op deze manier ook die Rootkit op mijn systeem krijgen?
10-07-2006, 09:56 door SirDice
Door Beukenoot
Kan ik op deze manier ook die Rootkit op mijn systeem
krijgen?
Een rootkit krijg je op een zelfde manier als een trojan,
worm en/of virus.
21-07-2006, 23:27 door Anoniem
Zoals SirDice suggereerde gebruik Ewido,lijkt me nu een achterhaalde
oplossing.
Ewido is nu in handen van Grissoft,en is niet meer verkrijgbaar.
Ze hebben naar ik begreep Ewido in een virus programma verpakt.
Natuurlijk gaat dat nu duiten kosten.
En wie zag ik op de site van Panda? Die ene gast van Ewido.
22-07-2006, 17:46 door Anoniem
25-07-2006, 11:30 door SirDice
Door Endorian_Blizzard
Ook ethereal (lees Wireshark) geeft hierin denk ik verkeerde
informatie.
Ethereal draai je dan ook op een andere computer.
Het enige waar je het aan zou kunnen merken is
wanneer je je computer niet gebruikt maar wanneer je HD toch
begint te rammelen.
Dat zou ook gewoon andere oorzaken kunnen hebben, denk aan
virusscanners, de indexing service etc..
30-07-2006, 01:23 door Anoniem
ga eens in dos en typ attrib -a -h -r -s en zie alle files worden zichtbaar ,
ook verwijderbaar. dan word het al gemakelijker. dit in elke dir doen zeker
in de root. dan kun je files bespelen en fouten achterhalen . virussen en
aanverwanten zijn windosgericht en kunnen meestal niet tegen dos .
johan de lil
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.