Michal Kawecki wrote:
> Gołym okiem widać, że jakiś proces odtwarza usunięty wpis dot.
> sterownika. Wrzuć pełen skan pozycji Autostart z Gmera.
Malware teraz są coraz sprytniejsze, na przykład wstrzykują swoje dll do
procesów innych usług, lub tworzą nowe usługi. Jeśli dodatkowo jest
rootkit, a to:
SSDT spwj.sys ZwEnumerateKey [0xF73ECCA2]
SSDT spwj.sys ZwEnumerateValueKey
wskazuje, że jest, to ukrywa on klucze w rejestrze (w końcu po coś
przechwytuje te dwie funkcje).
Proponuję spróbować uruchomienia RootkitRevealer. Albo coś pokaże, albo
tchórzliwie odmówi współpracy (np.
http://wampir.mroczna-zaloga.org/archives/432-Prawie-schowany-rootkit.html)
Po drugie można zrzucić rejestr:
reg save hklm\software software.hiv
reg save hklm\system system.hiv
i przeglądnąć sterowniki i usługi. Można to zrobić dość wygodnie
korzystając z WRR: http://www.mitec.cz/wrr.html
Można sprawdzić MBR, ale tu raczej Gmer by napisał, że mu się coś nie
podoba.
Dodatkowo można obejrzeć ładowane biblioteki oraz handle (listdlls oraz
handle -a z Sysinternals).
Dodatkowo możesz sobie przeczytać:
http://wiki.xbow.pl/moin.cgi/CategoryTamagotchi
http://wampir.mroczna-zaloga.org/categories/14-Forensic
-- Paweł Goleń mailto:p_golen@ks.onet.pl "Wszyscy przecież wiemy, że nikt nie dostaje żadnych spamów" - mój trol UGVybCBTVUNLUw==Received on Sat Nov 8 11:50:03 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sat 08 Nov 2008 - 12:42:01 MET