kontrola logu

[Diallix]

Dobre.
Este, aby nedoslo k nedorozumeniu pri vykonani navodov. Potrebujem vysledok z gmeru na detekciu rootkitov. Avsak nastroje ako Deamon vytvaraju a hookuju subory, sposobom ako rootkity. Preto by bol vysledok, ako pri vasom prvom postnutom logu gmeru neobjektivny.

Posledny navod, ktory ste vykonal, je navod na odstranenie z pocitaca Deamona. Ak ste si ho medzi casom opäť nainštaloval, tak ho prosim vykonajte znova. Deamona si potom mozte nahodit nanovo, ale ako hovorim, vysledok by sa nedal rychlo a spravne identifikovat.

Tu este hodim pre istotu navod:

odinstalujte všechny virtuální jednotky (Daemon nebo alcohol)

Stáhněte SPTD http://www.duplexsecure.com/en/downloads
-vyberte verzi podle svého operačního systému. SPTD for Windows (32 bit) nebo (64b)
-uložte na plochu a spusťte
- zvolte možnost Uninstall
- restart PC


Stahněte http://www.jpshortstuff.247fixes.com/Defogger.exe
- spustte,
- potvrdte disabled
-log vložte zde

Ked urobite gmer, prosim, urobte este odrazu aj log z ICE-SWORD-u- , navod tu : http://www.viry.cz/forum/viewtopic.php? ... 94&start=0

Podla navodu ho spustite.
- na lavej strane odkliknite polozku KERNEL MODULE a potom kliknite v hornej karte na tlacidlo LOG
- ulozte na plochu ako log.txt a jeho obsah spolu s logom z gmeru vlozte sem.

[skalda]

...

[Diallix]

odinstalujte všechny virtuální jednotky (Daemon nebo alcohol) jsme nepochopil odinstalujte i tyto programy...

Ano, dobre ste pochopil. Troska to mame skreslene, prosim, odinstalujte aj tie...ked to urobite, tak urobte este raz navod:

start-spustit
do okénka napiste CMD (ako spravca PC - ADMIN), do okna skopirujte

Kód:
"%userprofile%\plocha\mbr" -t

ok

vytvoří se log s názvem mbr.log, vložte ho zde

[skalda]

...

[Diallix]

V programe Defogger-u- kliknite na Re-enable
http://www.jpshortstuff.247fixes.com/Defogger.exe

[skalda]

...

[Diallix]

Subory:
c:\windows\system32\Driver\atapi.sys
c:\windows\system32\Driver\iaStor.sys

otestujte na www.virustotal.com .
Po jednom ich tam uploadnite a odoslite "SEND FILE".
Ak naskoci okno s informaciou, ze subor bol uz prv testovany, odignorujte ho a subory dajte znova otestovat.

Po teste sem hodte vysledky (url) testovanych suborov.

[skalda]

DObrý den, tak ta adresa nesedí správná je ..C:\Windows\System32\drivers\iaStor.sys

http://www.virustotal.com/file-scan/rep ... 1282141902

http://www.virustotal.com/file-scan/rep ... 1282142074

[Diallix]

Preklep, ospravedlnujem sa.

Podla VT je ok, ale ak nie su v pc ziadne virtualky nechapem,preco ho mbr hlasi ako hooknuty...

Pre kazdy pripad tie dva ovladace hodte do zlozky, skomprimujte (winrar) a uploadnite ich na letecku postu. Odkz mi potom poslite.

Mozete mi povedat ako je na tom vas pocitac?

[skalda]

...

[Diallix]

Ospravedlnujem sa, ze reagujem az teraz, ale zaciatok vikendu som bol pod posobenim dost velkeho adrenalinu

Tie dva subory su ciste...takze podla vsetkeho mate system v poriadku. Zmenilo sa pocas tychto dni nieco?

[skalda]

DObrý den, nic se nezměnilo..... je mi to teda divný že sowtware na rootkit označil systém za infikovaný ale co nadělám... každopádně děkuji moc za rady

[Diallix]

Takto, tieto software, ktore pouzivame, nepouzivaju na identifikovanie ziadnu databazu kodov virov (jadra av) podla ktorej by urcili ci je subor ok alebo nie. Je to tak aj lepsie, pretoze by bolo dost vela planych poplachov a aj keby bol subor hooknuty, nemusel by dany software na nic prist, nakolko rootkity hook adresy menia, takze by to bolo mozno aj zbytocne...

Software, ktore pouzivame, zaznamenavaju vsetky zmeny, ktore sa vymykaju normalu. To, preco utilita zahlasila rootkit bolo preto, ze naslo zmenu, ktora sa podoba vycinaniu rootkita, avsak su legitimne software, ktore maju taketo praktiky. To uz ale utilita nevie porovnat, preto vypise ROOTKIT. Je potom uz na dotycnom, ktory vam log kontroluje, ako sa k tomu postavi.

Ak by boli drivery kernelu hooknute, mbr by nebol jediny, ktory by to detekoval. Gmer je ok, virustotal je ok, analyzovanie driverov bolo ok.

V systeme ste nejake veci mal, tych sme sa zbavili este na zaciatku

[skalda]

Ještě bych dodal, že při spuštění pc mě vždy centrum zabezpečení hlásí že antivir je vypnutý...což je sice asi pravda protože se zapne až po této hlášce. Dříve tomu tak ale nebývalo...

A ještě mě zajímá, všechny změny co jsme provedli pomocí sowtware např..defogger mám nechat tak nebo ja vrátit na původní?

[Diallix]

U Defogger-u- kliknite na Re-enable.

Ak ste odinstaloval tie softy, tak ich mozte znovu nainstalovat.

Combofix odinstalujtete:

Start --> Napiste ComboFix /Uninstall >> enter