Някой се опитва да краде информация с Rootkit?

[МакЛамер]

Оня ден като преглеждах в Еверест различните акаунти ми направи впечетление че на компютъра ми има логване с акаунт администратор 2 пъти - който аз не използвам-и до сега не съм използвал.Нормално си използвам мой акаунт с администраторски права с парола.Искам да попитам дали това е нормално и как мога да задам парола на Administrator.Подозирам че има някой руут кит на компира .Иначе отдавна реших въпроса с вируси и троянци - използвам защитната стена на Windows + Nod 2.70 + и компютъра ми е напълно чист от вируси - няма и косвени признаци на зараза - щото съм си настроил както трябва Windowsa и антивируса освен това използвам само ограничения акаунт и отвреме навреме Spy Bot Search and Destroy i AVZ (но само за развлечение)щото отдавна не съм прихващал зарази.

От известно време обаче AVZ при сканиране не отчита никакви зарази обаче дава в червено предупреждение че някаква функция или драйвер на Windows са прихванати и изписва предупреждение за възможен руут кит.Като видях и двете логвания с администраторския акаунт всичко стана доста подозрително. Затова изтеглих AVG Anti Rootkit който според Компютър Билд при тест лови най-добре от всички програми -над 95% и той ми откри следния руут кит:

C:\WINDOWS\System32\Drivers\apnoviqh.sys Описание : Hidden driver file (Скрит файл на драйвер) Тъй като в самата програма е сложна и няма подробни инструкции дали всеки открит файл е рууткит ми хрумна да го пратя за анализ на онлайн скенер с всички антивирусни програми на jotti.org за да разбера дали е заразен обаче при опит да го намеря файла липсваше.Освен това всеки път когато сканирам - файла си променя името - и не знам дали е част от системата и като го изтрия да не прецакам нещо. Много моля някой който има повече информация по въпроса да ми помогне да се справя с това.

[Aquarius]

Да, обикновено Rootkits се зареждат като драйвери, защото системата не осигурява защита за кода, който се изпълнява в Kernel Mode. Т.е веднъж в системен режим, дадения Rootkit може да поеме контрол върху операционната система и да скрие всякакви обекти като процеси, файлове, ключове в регистъра и тн.

Освен това всеки път когато сканирам - файла си променя името - и не знам дали е част от системата и като го изтрия да не прецакам нещо.

Това е често използвана техника от по-сериозните заплахи.

Бих ти препоръчал да сканираш с още няколко инструмента - RootkitRevealer и GMER.

Имай предвид, че не всички неща, които RotkitRevealer ще oткрие 100% са Rootkits.

При първото стартиране на GMER програмта ще сканира паметта, като заплахите се визуализират в червено.

Може да поставиш парола на акаунта Administrator чрез snap-in модула Computer Management (Control Panel --> Administrative Tools) и възела Local Users and Groups. С десен клик върху акаунта Administrator избираш Set Password.

[МакЛамер]

Благодаря за инфото за паролата на администратор-промених я. Сканирал съм преди това няколко пъти с Rootkit Revealer обаче не откри нищо, по-точно всичко което откри е с размер 0 КВ а според инструкциите това не е заплаха, а и не откри файлове само регистри.

По-точно въпроса ми е следния дали този файл който AVG Anti Rootkit откри e самият файл на рууткита и мога ли да го затрия безопасно или той се прикачва към файл на драйвър както правят вирусите защото ако е така не искам като го делна да си прецакам някой драйвер.

Иначе не ми пречи толкова че е има паразит на компютъра обаче на него държах определени документи с лични данни и други платежни документи, които сега смятам да ги преместя от компа щото гледам напоследък стават доста измами в нашта хубава страна и ме е страх някой да не се докопа до тях.

Та по въпроса за този подозрителен файл-когато е скрит лошото е че не мога да го копирам ако нещо се прецака да го въстановя отново

[Night_Raven]

Щом AVG Anti-Rootkit ти го засича и има опция да го изчисти, според мен се възползвай от нея.

[Aquarius]

Стартирай GMER и виж какво е състоянието на машината.

[МакЛамер]

Изтрих файла с AVG-то и след рестарт ми даде че заплахата е премахната успешно. Уиндоуса продължи да си работи нормално. Накрая сканирах и с Gmer и изкара доста неща, но никаде не можах да намеря инструкции за работа с програмата, за да разбера кое е нормално и кое не. Доколкото разбрах от горните мнения заплахите са оцветени в червено а при мен нямаше никъде обекти с червено затова смятам въпроса за решен.

Интересно защо тази програма са я направили по този начин да изкарва толкова много обекти-тези които са в черно не мога да разбера какво точно показват-явно програмата е доста добра обаче за хора които са вътре в нещата, а за обикновени потребители е доста сложна.

[Night_Raven]

GMER сканира компютъра и извежда всички обекти, които достъп на по-ниско ниво, а съобщава само за опасните такива. За обикновените потребители също е достатъчна заради това, че все пак извежда съобщение кои са опасните обекти и има възможност да ги премахне.

[Aquarius]

Да, щом няма обекти в червено, значи няма проблем. При първото стартиране, програмата проверява паметта и ако има проблем се визуализира следното съобщение:

http://img143.imageshack.us/img143/3899/gmererrhj9.png

 

Интересно защо тази програма са я направили по този начин да изкарва толкова много обекти

Обикновено инструментите за по напреднали показват доста допълнителна информация и не всичко е заплаха. RootkitRevealer също показва неща, които може да не са проблем. Обекти, които се "виждат" чрез използването на стандартни програмни интерфейси (API), а не се показват при сканиране на ниско ниво се визуализират. GMER и RootkitRevealer използват техниките Anomaly detection (GMER) и Cross-View comparison (RKR), за да откриват Rootkits. Затова е добре, когато имаш съмнения за Rootkits, да се сканира с повече от един инструмент.

[Maniac]

Имам абсолютно същият проблем в момента. AVG Anti-Rootkits, само го откри, но така и не успя да помогне. С RootkitRevealer сканирах, но не му разбирам показа ми три файла, но не знам..... Gmer нищо не ми открива. Давайте други идеи, освен преинсталиране, ако мога да го заловя и да го пратя за анализ ще имам да почерпя.

[Night_Raven]

Какво точно открива AVG Anti-Rootkit?

[Maniac]

Открива ми в C:\WINDOWS\System32\Drivers\amkabi1t.SYS , rootkit вид: Hidden driver file . Името на rootkit, след всеки рестарт се променя.

[Night_Raven]

А имаш ли DAEMON Tools или Alcohol?

[Maniac]

Имам Daemon Tools Lite. Заради това е била цялата работа. Много ти благодаря.

[Night_Raven]

Това е метод на програмата да се скрива по-добре от антиемулаторните алгоритми на защити. Явно на AVG не й допада.