Hacktool.rootkit - PROHARDVER! Hozzászólások

Legfrissebb anyagok

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

LOGOUT témák

Új hozzászólás Aktív témák

#13 Notes senior tag

Új Válasz 2005-06-13 18:50:41 #13
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

Notes

senior tag

No. Mindenki okulására leírom a történet végét. Legalább is remélem, hogy vége.

Egy dologból tudtam kiindulni, ez pedig a %system%\documents and settings\usernév alatt állandóan létrejövő msdirectx.sys nevű file. Csak konzolon(cmd) keresztül lehetett vele bármit is csinálni (attrib -s -h -r). Ezek után törölhető, de pár másodperc után újra létrejön. Itt van a kutya elesve! Gyorsan megnéztem a futó folyamatokat, a gyanúsabbakat sorra leállítottam, s közben figyeltem létrehozza e még valami a fent említett állományt. Arra az eredményre jutottam, hogy a setup32.exe lesz a rohadék. Ellenőriztem a létrehozásának dátumát, persze, hogy egyezett a problémák kezdetének napjával. Elhatároztam, hogy leszámolok vele. Irány a registry! (Ismert mellékhatása a Hacktool.Rootkit-nek a regedit blokkolása, hogy ne tudja a user kiszedni fészkéből. Ez azonban a regedit.exe átnevezésével pl.: akurvaanyádterohadékhacktoolrootkit.exe-re könnyedén orvosolható). Nekem ilyen gondom nem volt. Menet közben kitöröltem az Elite Toolbar nevű szemetet is (ez is a Hacktool műve). Rá is találtam az ominózus setup32.exe-re a Winlogon, Userinit kulcsában várakozott, hol máshol. Nem akartam rögtön törölni, előbb átneveztem, majd súlyos hibát követtem el... A mellette lévő userinit.exe-t is gyanúsnak minősítettem (ennyi megpróbáltatás után talán nem is csoda, ha az ember már rémeket lát...), s ezt is átneveztem.

Diadalittas restart, majd életem egyik legfájdalmasabb ráeszmélése következett. XP jelszó beír. Beállítások betöltése, majd rögtön utánna beállítások mentése, kijelentkezés. Mármint ezeket az oprendszer ''magától'' hajtotta végre. Egyből tudtam mi a baj. A userinit.exe-t nem szabadott volna átnevezni. Gondolom XP nem tud beléptetni, mert nem találja az új kulcs által leírt fájlt, ezért jobb híján azonnal kiléptet... Rendszergazdaként, csökkentett módban, sehogy sem ment.
Tudtam, hogy ez innentől nem lesz egyszerű menet. Megpróbáltam egy másik gépről a regedittel módosítani, de nem engedett be. Akit megkérdeztem hirtelenjében mindenki reinstall mellett döntött. Na azt már nem!
Szépen kizártam magam a (registry)kulcs meg bent maradt. Járt az agyam mint a motolla. Végül is a file ott van a HDD-n, csak a registry egy másikat keres. Mivel a registryt csak akkor tudom elérni ha már beléptem (22 csapdája, vagy mi...) ez nem járható út. Akkor adjunk neki olyan fájlt amilyet keres!
Linux live CD-t (SuSE 9.1) a laptop nem bootolta be. Azon kívül csak egy NTFSforDOS-om volt, de az ingyenes verzió csak olvas. Az nem jó.
No nem nyújtom tovább, szereztem NTFSPro-t (win98 boot) és átneveztem a kérdéses userinit.exe-t. Így egyből jó lett. Happy End.

Bocs, hogy ilyen hosszú lett, de muszáj volt kiírni magamból mindezt. Talán segítettem valamit azoknak akik Hacktool.Rootkit-el hadakoznak.