Ο "ασθενής" / το σύστημα έχει ως εξής:
2 σκληροί δίσκοι, ο ένας για το λειτουργικό και ο άλλος για τα προσωπικά αρχεία. Λειτουργικό σύστημα XP SP2. Το σύστημα συνδέεται στο διαδίκτυο μέσω router (Linksys WAG200G).
Με φώναξαν να κοιτάξω το σύστημα γιατί παρουσίαζε παράξενη συμπεριφορά. Θεώρησα ότι με περίμενε κλασσική περίπτωση, με μερικά adware/spyware, σαβούρο-toolbars και κανέναν ψιλοϊό. Αμ δε...
Ξεκίνησα από τα startup. Βρήκα ένα στοιχείο που έδειχνε σε κάποιο αρχείο στο system32, π.χ.:
C:\Windows\system32\ddpekoko.dll
Μετά από κάθε προσπάθεια να σβηστεί το συγκεκριμένο startup, επανεμφανιζόταν στη λίστα, μερικές φορές και με άλλο, τυχαίο όνομα. Μέσω του μητρώου (\Windows\CurrentVersion\Run) είδα ότι αυτό το startup ξεκινούσε με rundll32. Στον task manager, τερμάτισα όλες τις αντίστοιχες διεργασίες rundll32. Μια από αυτές πάντα επανεμφανιζόταν. Μάλλον ήταν αυτή που φρόντιζε να υπάρχει πάντα το DLL στα startup.
Έκανα έλεγχο με το AVG Free 7 σε όλο το σύστημα. Βρέθηκαν κάτι trojan που κατέβηκαν μέσω Limewire και IE. Έφυγαν.
Έκανα έλεγχο με το SpyBot SD και βρέθηκαν κάποια spyware. Έφυγαν όλα εκτός από το Virtumonde.dll, το οποίο δεν έφυγε ακόμα και μετά από αρκετές προσπάθειες. Το VundoFix δεν βρήκε τίποτα, το ComboFix κάτι έκανε, αλλά μόλις άνοιγα π.χ. Firefox, πήγαινε από μόνο του σε κάποια σελίδα και επανεμφανιζόταν το μυστηριώδες DLL στο startup. Ώρες τρόμου.
Έκανα εκκίνηση από ένα CD BartPE και έσβησα το συγκεκριμένο αρχείο. Πάλι, μετά από άνοιγμα browser, εμφανίστηκε. Ένας έλεγχος με F-Secure Blacklight για rootkit επίσης δεν έφερε τίποτα στο φώς.
Πάρθηκε η μεγάλη απόφαση για φορμάτ και επανεγκατάσταση. Έγινε έλεγχος με το AVG στον δεύτερο δίσκο και μετά τα Windows από τον πρώτο δίσκο πήγαν στα θυμαράκια. Η εγκατάσταση έγινε κανονικά, μετά, ο IE χρησιμοποιήθηκε μόνο για να κατεβάσω τον FF. Συνεχίστηκε η εγκατάσταση των λοιπών προγραμμάτων, μεταξύ τους το Avira Personal και το SpyBot SD. Έκανα άλλον έναν έλεγχο στον δεύτερο δίσκο με το Avira.
Και κάποια στιγμή γίνεται το μυστήριο: Στον FF άρχισαν να εμφανίζονται καρτέλες με URL που θύμιζαν πράγματα που είχαν πληκτρολογηθεί. Για παράδειγμα, κάποια στιγμή πληκτρολογήθηκε (σε άλλο πρόγραμμα) το όνομα "Anthony", και αργότερα στον Firefox άνοιξε καρτέλα με URL "www.anthony.com". Πράγματα του σατανά δηλαδή.
Έγινε πάλι έλεγχος με Avira και Spybot. Από τον δεύτερο δίσκο έσβησα ένα DLL που το βρήκα στα startup και δεν το έπιασε το Avira. Το Spybot δεν βρήκε τίποτα. Ούτε rootkit δεν βρέθηκαν. Απενεργοποίησα την επαναφορά συστήματος για να μην υπάρχει αυτή η κρυψώνα στο \System Volume Information.
Τι μπορεί να γίνεται; Υπάρχει ενδεχόμενο να είχε ξεμείνει κάτι στον δεύτερο δίσκο και να κόλλησε και την καινούρια εγκατάσταση των Windows; Μπορεί να έχει κρυφτεί τίποτα στο MBR και να δρά από εκεί; Rootkit στο BIOS; Μπορεί να μας χτύπησαν από έξω, διαπερνώντας το router με το NAT και το τείχος προστασίας του, καθώς και το τείχος των Windows; Μήπως υπάρχει τίποτα στο ίδιο το router; Δώστε μου κάποιο σημείο, γιατί τα έχω παίξει πια. Σε λίγο θα αρχίσω να βλέπω εξωγήινους. Πρώτη φορά βλέπω τέτοιο πράγμα.
Ευχαριστώ εκ των προτέρων για οποιαδήποτε βοήθεια.
Εμφάνιση 1-14 από 14
-
07-06-08, 00:02 Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #1- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
-
07-06-08, 00:14 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #2
Το πιθανότερο είναι να είναι μολυσμένος και ο 2ος σκληρός.
Η εύκολη λύση που προτείνω σε φιλαράκια είναι. Βάλε ένα Ubuntu Live CD.
Μέσω αυτού πέρασε σε άλλο Partition Που θα φορμάρεις ή καλύτερα σε εξωτερικό σκληρό τα αρχεία σου όχι κάνοντας copy all και paste αλλά σιγά σιγά να βλέπεις τι βάζεις, μην μεταφέρεις και το μολυσμένο αρχείο όπου και αν είναι.
Φορμάρισμα μέσω Ubuntu μετά στον σκληρό από τον οποίο αντέγραψες τα αρχεία.
Clean Install Windows με Διαγραφή και ξάνα δημιουργία partitions και φορμάτ μετά, πέρασε ξανά τα αρχεία στον 2ο.Το δικαίωμά σου να μιλάς δεν περιλαμβάνει την υποχρέωσή μου να σε πάρω στα σοβαρά.
-
07-06-08, 00:53 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #3
Κάτι τέτοιο φοβόμουν ...Ευχαριστώ για την απάντηση.
- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
-
07-06-08, 01:04 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #4
Έχεις λίγη δουλίτσα στην επιλεκτική αντιγραφή. Τα άλλα είναι πιο γρήγορα. (Live CD, Win Install...)
Βασικά αν και δεν ξέρω το Backround, αλλά δοκίμασε μια και τα Vista αν τα σηκώνεις.
Αυτά τα μαμούνια μπαίνουν πολύ πιο δύσκολα σε περιβάλλον με καλύτερη χρήση δικαιωμάτων σε σχέση με αυτό των XP.Το δικαίωμά σου να μιλάς δεν περιλαμβάνει την υποχρέωσή μου να σε πάρω στα σοβαρά.
-
07-06-08, 01:07 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #5
μπορεις να δοκιμασεις να συνδεσεις το δισκο σε ενα αλλο pc, με ενημερωμενο a/v και να τον σκαναρεις. Επισης καλου κακου σβησε απο Linux περιβαλλον το system volume information και το recycle.
Όλα γίνονται. Kαι όλα είναι αδύνατα.
Εξαρτάται από το πόση τρέλα σου λείπει η σου περισσεύει…
-vosk
http://www.eaimproved.eu
-
07-06-08, 01:09 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #6
-
07-06-08, 01:23 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #7
Αυτό είναι, αυτό είναι το μόνο καλό που θυμάμαι από τα Vista. Ο χρήστης του υπολογιστή τα έχει δοκιμάσει και τα απεχθάνεται. Μένουμε σε XP. Μπορώ να βάλω περιορισμένο λογαριασμό, αλλά είναι μπελάς.
Για να μην συνδέσω τον δίσκο απευθείας, σκέφτομαι να κάνω την μεταφορά μέσω Ethernet σε ένα laptop, εκεί όπου δεν μπορεί να δράσει κανένας ιός, trojan ή rootkit που βρίσκεται στο μολυσμένο σύστημα.- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
-
07-06-08, 01:28 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #8
-
07-06-08, 01:31 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #9
Λέω να τρέχω Windows στο laptop για να έχω το AV να ελέγχει ό,τι μπαίνει. Αν τρέχει Linux στο μολυσμένο σύστημα δεν φτάνει; Ακόμα κι αν έχω rootkit στο MBR, λογικά μόνο όσο τρέχουν τα Windows στο σύστημα μπορεί να γίνει ζημιά, έτσι;
- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
-
07-06-08, 01:34 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #10
Ναι έτσι όπως λες θα κάνεις.
Το μολυσμένο σύστημα θα τρέχει ένα LiveCD on the fly χωρίς εγκατάσταση, προτίμησε Ubuntu 8.04 που στάνταρ θα βρει το Ethernet και θα παίξει αμέσως, και μέσω αυτού θα σου εμφανιστούν οι σκληροί σου από τους οποίους θα τσιμπάς αρχεία και θα τα στέλνεις στο Laptop.Το δικαίωμά σου να μιλάς δεν περιλαμβάνει την υποχρέωσή μου να σε πάρω στα σοβαρά.
-
07-06-08, 01:38 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #11
ΟΚ, ευχαριστώ πολύ για τη βοήθεια
- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
-
07-06-08, 01:40 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #12
-
07-06-08, 01:46 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #13Επιτέλους το ελάχιστο δυνατό, ευέλικτο, και ψηφιακό κράτος. Με διαρκή αξιολόγηση.
-
08-06-08, 03:40 Απάντηση: Ιός; Trojan; Rootkit; Βοηθάτε γιατί με βλέπω για Δαφνί... #14
Λοιπόν, ξαναέγραψα τα MBR και των δύο δίσκων με το mbrfix και πέρασα πάλι το λειτουργικό και τα αρχεία. Έκανα επίσης αυτό που μάλλον θα έπρεπε να είχα κάνει από την αρχή: έφτιαξα λογαριασμό με περιορισμένα δικαιώματα, ενώ μέχρι τώρα όλοι δούλευαν στο σύστημα ως Administrator. Μετά από έναν πρώτο έλεγχο δεν βρήκα τίποτα περίεργο. Έκανα θερμή παράκληση να χρησιμοποιείται πάντα ο Firefox και ο Administrator μόνο όταν χρειάζεται. Θέλω να ελπίσω ότι αυτή τη φορά θα αντέξει το σύστημα.
Σας ευχαριστώ και πάλι όλους για την βοήθεια σας- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
Παρόμοια Θέματα
-
Προειδοποίηση για επικίνδυνο rootkit
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 54Τελευταίο Μήνυμα: 14-01-08, 23:49 -
Γιατί δεν βλέπω τον Host Server κλπ. πλέον?
Από kounoitsi στο φόρουμ ADSLΜηνύματα: 15Τελευταίο Μήνυμα: 03-01-08, 08:35 -
Για βοηθάτε σας παρακαλώ!
Από spyII στο φόρουμ ADSLΜηνύματα: 3Τελευταίο Μήνυμα: 13-11-07, 10:43 -
10 Λόγοι γιατί το αλκοόλ είναι ένα επικίνδυνο Virus/Trojan
Από yiapap στο φόρουμ The fun section...Μηνύματα: 17Τελευταίο Μήνυμα: 06-10-06, 14:06 -
Γιατί δεν βλέπω τα συνημμένα;
Από JohnJohn στο φόρουμ WindowsΜηνύματα: 13Τελευταίο Μήνυμα: 29-09-05, 10:41
Bookmarks