Rootkit? | 16.02.2008 15:30:20 | |||||||||||||||||||
Charlie | ||||||||||||||||||||
Dobrý den, víceméně pro zajímavost jsem projel počítač programem "AVG Anti-Rootkit Free" a ten mi našel skrytý proces v "c:/Windows/system32/drivers/a767nnnk.sys". Pokud ho tímto programem odstraním, vytvoří se jiný, jinak pojmenovaný, opět s příponou *.sys. Jako ochranu používám Kaspersky Internet security, verze 2007_7_0_0_125. Pravidelné updaty jsou samozřejmostí. Kromě toho minimálně jednou týdně projíždím počítač aktualizovaným SpyBotem. Zajímavé je, že žádný jiný mnou použitý program kromě AVG nedokázal najít tento proces, natož najít jeho zdroj. Kvůli jeho odstranění jsem nahodil znovu Windows, ale po šesti dnech je to tu znovu. Takže, babo raď. Děkuji. Ještě dodám, že žádný program typu hijackthis, procesExplorer atd. ho nevidí, používám Firefox, WinXP a na zkoušku Vista, napadené jsou oba systémy... | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: Rootkit? | 16.02.2008 23:13:39 | |||||||||||||||||||
Raptor | http://raptor.cestiny.cz | |||||||||||||||||||
No v prve rade bych si tet sys soubor nasel na disku a pres vlastnosti se podival na popis, zda tam neni neco co dava smysl. Podle toho bych se ridil dale. Zaroven bude urcite v registru nekde primo odkaz na tento sys soubor kvuli zavadeni. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: Rootkit? | 17.02.2008 7:59:51 | |||||||||||||||||||
Charlie | ||||||||||||||||||||
A jak ho mám najít, když je to rootkit a je pro Windowsy neviditelný! Proto o něm nezjistím nic jiného, než co mi řekne AVGčko. Navíc po každém restartu je pojmenovaný jinak. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: Rootkit? | 17.02.2008 11:53:23 | |||||||||||||||||||
Raptor | http://raptor.cestiny.cz | |||||||||||||||||||
Kdo rekl ze je pro windows neviditelny? To ze je proces skryty, neznamena ze neni viditelny ten sys soubor :-) Staci mit zaple zobrazovani skrytych souboru na disku a cestu k nemu znate. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: Rootkit? | 17.02.2008 12:05:15 | |||||||||||||||||||
Raptor | http://raptor.cestiny.cz | |||||||||||||||||||
Dodatek - zkuste RootkitRevealer - http://technet.microsoft.com/cs-cz/sysinternals/bb897445.aspx | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: Rootkit? | 17.02.2008 13:25:05 | |||||||||||||||||||
Martin Kubečka | http://www.AntiviroveCentrum.cz | |||||||||||||||||||
Taky je možné, že AVG AntiRootkit zcela a jednoduše kecá. Výskyt falešných polachů (false positive) je u AVG obvykle vcelku vysoký, dle testů na www.av-comparatives.org. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: Rootkit? | 17.02.2008 19:15:33 | |||||||||||||||||||
Charlie | ||||||||||||||||||||
2 Martin Kubečka -- S tím souhlasím, AVG může kecat, po večerním brouzdání po webech jsem použil "RootKit Hook Analyzer", který tento proces identifikoval jako ovladač "Atapi IDE Miniport Driver". Skutečně jsem ho taky našel v "Systému" jako ovladač Řadiče paměťových zařízení "SCSI/RAID Host Controller". Podivné je, alespoň pro mě, že se objevil asi po šesti dnech, po každém restartu se jmenuje jinak, jeho jméno vždy začíná na písmeno "a", jeho velikost je 421888. To vše na Vistách. [URL=http://ukazto.com/?img=2224420,AVGAnti-RootkitFree.jpg][IMG]http://ukazto.com/img_small/2224420,AVGAnti-RootkitFree.jpg[/IMG][/URL] [URL=http://ukazto.com/?img=2224422,RootKitHookAnalyzer.jpg][IMG]http://ukazto.com/img_small/2224422,RootKitHookAnalyzer.jpg[/IMG][/URL] [URL=http://ukazto.com/?img=2224427,Sprvce.jpg][IMG]http://ukazto.com/img_small/2224427,Sprvce.jpg[/IMG][/URL] 2 Raptor - když říkám, že proces je skrytý, tak je vážně skrytý, jsem pamětník ještě DOSu a s Windowsama pracuji (nikoli profesionálně:-) už od dob Win95, ale tento proces prostě jakoby nebyl. Navíc, ještě jsem neviděl rootkit, krerý by byl veřejnosti pěkně na očích. Ale tím, že je to rootkit, si teď nejsem až tak jistý, viz výše. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: RE: Rootkit? | 17.02.2008 21:56:59 | |||||||||||||||||||
Raptor | http://raptor.cestiny.cz | |||||||||||||||||||
Ja nikde nepsal ze je viditelny proces, ja psal ze je viditelny ten sys soubor, cili neplest si pojmy :-) Jiste ze low lvl ovladace atd. nebudou videt v task manageru, protoze to nejsou procesy, ale ovladace ;-) | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||
RE: RE: RE: RE: Rootkit? | 17.02.2008 20:28:04 | |||||||||||||||||||
Charlie | ||||||||||||||||||||
Původce objeven, nečekaně je jím Daemon Tools :-) díky všem přispěvovatelům za Váš čas. | ||||||||||||||||||||
odpovědět | ||||||||||||||||||||