Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί...

[Simpleton]

Ο "ασθενής" / το σύστημα έχει ως εξής:

2 σκληροί δίσκοι, ο ένας για το λειτουργικό και ο άλλος για τα προσωπικά αρχεία. Λειτουργικό σύστημα XP SP2. Το σύστημα συνδέεται στο διαδίκτυο μέσω router (Linksys WAG200G).

Με φώναξαν να κοιτάξω το σύστημα γιατί παρουσίαζε παράξενη συμπεριφορά. Θεώρησα ότι με περίμενε κλασσική περίπτωση, με μερικά adware/spyware, σαβούρο-toolbars και κανέναν ψιλοϊό. Αμ δε...

Ξεκίνησα από τα startup. Βρήκα ένα στοιχείο που έδειχνε σε κάποιο αρχείο στο system32, π.χ.:
C:\Windows\system32\ddpekoko.dll
Μετά από κάθε προσπάθεια να σβηστεί το συγκεκριμένο startup, επανεμφανιζόταν στη λίστα, μερικές φορές και με άλλο, τυχαίο όνομα. Μέσω του μητρώου (\Windows\CurrentVersion\Run) είδα ότι αυτό το startup ξεκινούσε με rundll32. Στον task manager, τερμάτισα όλες τις αντίστοιχες διεργασίες rundll32. Μια από αυτές πάντα επανεμφανιζόταν. Μάλλον ήταν αυτή που φρόντιζε να υπάρχει πάντα το DLL στα startup.

Έκανα έλεγχο με το AVG Free 7 σε όλο το σύστημα. Βρέθηκαν κάτι trojan που κατέβηκαν μέσω Limewire και IE. Έφυγαν.
Έκανα έλεγχο με το SpyBot SD και βρέθηκαν κάποια spyware. Έφυγαν όλα εκτός από το Virtumonde.dll, το οποίο δεν έφυγε ακόμα και μετά από αρκετές προσπάθειες. Το VundoFix δεν βρήκε τίποτα, το ComboFix κάτι έκανε, αλλά μόλις άνοιγα π.χ. Firefox, πήγαινε από μόνο του σε κάποια σελίδα και επανεμφανιζόταν το μυστηριώδες DLL στο startup. Ώρες τρόμου.

Έκανα εκκίνηση από ένα CD BartPE και έσβησα το συγκεκριμένο αρχείο. Πάλι, μετά από άνοιγμα browser, εμφανίστηκε. Ένας έλεγχος με F-Secure Blacklight για rootkit επίσης δεν έφερε τίποτα στο φώς.

Πάρθηκε η μεγάλη απόφαση για φορμάτ και επανεγκατάσταση. Έγινε έλεγχος με το AVG στον δεύτερο δίσκο και μετά τα Windows από τον πρώτο δίσκο πήγαν στα θυμαράκια. Η εγκατάσταση έγινε κανονικά, μετά, ο IE χρησιμοποιήθηκε μόνο για να κατεβάσω τον FF. Συνεχίστηκε η εγκατάσταση των λοιπών προγραμμάτων, μεταξύ τους το Avira Personal και το SpyBot SD. Έκανα άλλον έναν έλεγχο στον δεύτερο δίσκο με το Avira.

Και κάποια στιγμή γίνεται το μυστήριο: Στον FF άρχισαν να εμφανίζονται καρτέλες με URL που θύμιζαν πράγματα που είχαν πληκτρολογηθεί. Για παράδειγμα, κάποια στιγμή πληκτρολογήθηκε (σε άλλο πρόγραμμα) το όνομα "Anthony", και αργότερα στον Firefox άνοιξε καρτέλα με URL "www.anthony.com". Πράγματα του σατανά δηλαδή.

Έγινε πάλι έλεγχος με Avira και Spybot. Από τον δεύτερο δίσκο έσβησα ένα DLL που το βρήκα στα startup και δεν το έπιασε το Avira. Το Spybot δεν βρήκε τίποτα. Ούτε rootkit δεν βρέθηκαν. Απενεργοποίησα την επαναφορά συστήματος για να μην υπάρχει αυτή η κρυψώνα στο \System Volume Information.

Τι μπορεί να γίνεται; Υπάρχει ενδεχόμενο να είχε ξεμείνει κάτι στον δεύτερο δίσκο και να κόλλησε και την καινούρια εγκατάσταση των Windows; Μπορεί να έχει κρυφτεί τίποτα στο MBR και να δρά από εκεί; Rootkit στο BIOS; Μπορεί να μας χτύπησαν από έξω, διαπερνώντας το router με το NAT και το τείχος προστασίας του, καθώς και το τείχος των Windows; Μήπως υπάρχει τίποτα στο ίδιο το router; Δώστε μου κάποιο σημείο, γιατί τα έχω παίξει πια. Σε λίγο θα αρχίσω να βλέπω εξωγήινους. Πρώτη φορά βλέπω τέτοιο πράγμα.

Ευχαριστώ εκ των προτέρων για οποιαδήποτε βοήθεια.

Off Topic

Βλέπωντας ότι οι κάτοχοι του συστήματος έχουν πολυμηχάνημα HP και έχοντας υπόψη το HPLIP, στην απόγνωση μου είπα να προτείνω κανένα (K)ubuntu. Αλλά δεν ξέρω αν θα είναι καλύτερα ή χειρότερα, καθώς υπάρχει εξάρτηση από αρκετά προγράμματα Windows, κυρίως παιχνίδια.

[manosdoc]

Το πιθανότερο είναι να είναι μολυσμένος και ο 2ος σκληρός.
Η εύκολη λύση που προτείνω σε φιλαράκια είναι. Βάλε ένα Ubuntu Live CD.
Μέσω αυτού πέρασε σε άλλο Partition Που θα φορμάρεις ή καλύτερα σε εξωτερικό σκληρό τα αρχεία σου όχι κάνοντας copy all και paste αλλά σιγά σιγά να βλέπεις τι βάζεις, μην μεταφέρεις και το μολυσμένο αρχείο όπου και αν είναι.
Φορμάρισμα μέσω Ubuntu μετά στον σκληρό από τον οποίο αντέγραψες τα αρχεία.
Clean Install Windows με Διαγραφή και ξάνα δημιουργία partitions και φορμάτ μετά, πέρασε ξανά τα αρχεία στον 2ο.

[Simpleton]

Κάτι τέτοιο φοβόμουν ...Ευχαριστώ για την απάντηση.

[manosdoc]

Κάτι τέτοιο φοβόμουν ...Ευχαριστώ για την απάντηση.

Έχεις λίγη δουλίτσα στην επιλεκτική αντιγραφή. Τα άλλα είναι πιο γρήγορα. (Live CD, Win Install...)

Βασικά αν και δεν ξέρω το Backround, αλλά δοκίμασε μια και τα Vista αν τα σηκώνεις.
Αυτά τα μαμούνια μπαίνουν πολύ πιο δύσκολα σε περιβάλλον με καλύτερη χρήση δικαιωμάτων σε σχέση με αυτό των XP.

[vosk]

μπορεις να δοκιμασεις να συνδεσεις το δισκο σε ενα αλλο pc, με ενημερωμενο a/v και να τον σκαναρεις. Επισης καλου κακου σβησε απο Linux περιβαλλον το system volume information και το recycle.

[manosdoc]

μπορεις να δοκιμασεις να συνδεσεις το δισκο σε ενα αλλο pc, με ενημερωμενο a/v και να τον σκαναρεις. Επισης καλου κακου σβησε απο Linux περιβαλλον το system volume information και το recycle.

Αν μπει σε τέτοιο μπελά.... τουλάχιστον ας έχει το κεφάλι του ήσυχο..... για το 1ο που λες.
Καλά για το 2ο Αν είναι να μην γίνει εκ νέου μεταφορά. Ναι έχει αξία.

[Simpleton]

(...)
Βασικά αν και δεν ξέρω το Backround, αλλά δοκίμασε μια και τα Vista αν τα σηκώνεις.
Αυτά τα μαμούνια μπαίνουν πολύ πιο δύσκολα σε περιβάλλον με καλύτερη χρήση δικαιωμάτων σε σχέση με αυτό των XP.

Αυτό είναι, αυτό είναι το μόνο καλό που θυμάμαι από τα Vista. Ο χρήστης του υπολογιστή τα έχει δοκιμάσει και τα απεχθάνεται. Μένουμε σε XP. Μπορώ να βάλω περιορισμένο λογαριασμό, αλλά είναι μπελάς.

μπορεις να δοκιμασεις να συνδεσεις το δισκο σε ενα αλλο pc, με ενημερωμενο a/v και να τον σκαναρεις. Επισης καλου κακου σβησε απο Linux περιβαλλον το system volume information και το recycle.

Για να μην συνδέσω τον δίσκο απευθείας, σκέφτομαι να κάνω την μεταφορά μέσω Ethernet σε ένα laptop, εκεί όπου δεν μπορεί να δράσει κανένας ιός, trojan ή rootkit που βρίσκεται στο μολυσμένο σύστημα.

[manosdoc]

Για να μην συνδέσω τον δίσκο απευθείας, σκέφτομαι να κάνω την μεταφορά μέσω Ethernet σε ένα laptop, εκεί όπου δεν μπορεί να δράσει κανένας ιός, trojan ή rootkit που βρίσκεται στο μολυσμένο σύστημα.

Το Λάπτοπ να τρέχει Linux ή εναλλακτικά κάνε τη μεταφορά μέσω Ethernet μέσω livecd, για σιγουριά

[Simpleton]

Λέω να τρέχω Windows στο laptop για να έχω το AV να ελέγχει ό,τι μπαίνει. Αν τρέχει Linux στο μολυσμένο σύστημα δεν φτάνει; Ακόμα κι αν έχω rootkit στο MBR, λογικά μόνο όσο τρέχουν τα Windows στο σύστημα μπορεί να γίνει ζημιά, έτσι;

[manosdoc]

Λέω να τρέχω Windows στο laptop για να έχω το AV να ελέγχει ό,τι μπαίνει. Αν τρέχει Linux στο μολυσμένο σύστημα δεν φτάνει; Ακόμα κι αν έχω rootkit στο MBR, λογικά μόνο όσο τρέχουν τα Windows στο σύστημα μπορεί να γίνει ζημιά, έτσι;

Ναι έτσι όπως λες θα κάνεις.
Το μολυσμένο σύστημα θα τρέχει ένα LiveCD on the fly χωρίς εγκατάσταση, προτίμησε Ubuntu 8.04 που στάνταρ θα βρει το Ethernet και θα παίξει αμέσως, και μέσω αυτού θα σου εμφανιστούν οι σκληροί σου από τους οποίους θα τσιμπάς αρχεία και θα τα στέλνεις στο Laptop.

[Simpleton]

ΟΚ, ευχαριστώ πολύ για τη βοήθεια

[manosdoc]

ΟΚ, ευχαριστώ πολύ για τη βοήθεια

Να σαι καλά, και υπομονή με αυτές τις δουλειές...
Διπλοτσέκαρε κάθε βήμα!

[WAntilles]

http://www.adslgr.com/forum/showthread.php?t=14350

[Simpleton]

Λοιπόν, ξαναέγραψα τα MBR και των δύο δίσκων με το mbrfix και πέρασα πάλι το λειτουργικό και τα αρχεία. Έκανα επίσης αυτό που μάλλον θα έπρεπε να είχα κάνει από την αρχή: έφτιαξα λογαριασμό με περιορισμένα δικαιώματα, ενώ μέχρι τώρα όλοι δούλευαν στο σύστημα ως Administrator. Μετά από έναν πρώτο έλεγχο δεν βρήκα τίποτα περίεργο. Έκανα θερμή παράκληση να χρησιμοποιείται πάντα ο Firefox και ο Administrator μόνο όταν χρειάζεται. Θέλω να ελπίσω ότι αυτή τη φορά θα αντέξει το σύστημα.

Σας ευχαριστώ και πάλι όλους για την βοήθεια σας