CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Proszę o pomoc w usunięciu rootkita.

Proszę o pomoc w usunięciu rootkita.

Ostatnio komputer mojej koleżanki zaczął wariować.
Proces SERVICES.EXE (c:\windows\system32\services.exe) próbuje się łączyć z losowymi serwerami SMTP.

Poniżej zamieszczam wynik polecenia netstat:

Aktywne połączenia:

Protokół  Adres lokalny          Obcy adres        Stan           PID
TCP    pc:1444                alltooflat.com:smtp    WYSťANO_SYN     676  [services.exe]
TCP    pc:1445                mx1.online.net:smtp    WYSťANO_SYN     676 [services.exe]
TCP    pc:1446                spamfilter.webair.com:smtp  WYSťANO_SYN     676  [services.exe]
TCP    pc:1447                smtp.secureserver.net:smtp  WYSťANO_SYN     676  [services.exe]
TCP    pc:1448                mail.global.frontbridge.com:smtp  WYSťANO_SYN     676 [services.exe]
TCP    pc:1449                mail.global.frontbridge.com:smtp  WYSťANO_SYN     676 [services.exe]
TCP    pc:1450                mx2-iad1.mailhop.org:smtp  WYSťANO_SYN     676 [services.exe]
TCP    pc:1451                mailhost3.appliedi.net:smtp  WYSťANO_SYN     676 [services.exe]
TCP    pc:1452                mail47.messagelabs.com:smtp  WYSťANO_SYN     676 [services.exe]
TCP    pc:1454                216.226.150.170:smtp   WYSťANO_SYN     676  [services.exe]
TCP    pc:1455                public1.mx.sunwave.com:smtp  WYSťANO_SYN     676  [services.exe]


Przeskanowałem system HijackThis'em i nic podejrzanego nie ma. Udało mi się jednak w inny sposób znaleźć program i usługę i386p ale usunął to. Jednak bez efektu :(

Odpowiedzi: 1

Szukaj w HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify podklucza msctl32.dll - usun go.
Wystartuj do konsoli odzyskiwania i skasuj z niej dwa pliki wykonując polecenia:
disable i386p
del C:\WINDOWS\system32\msctl32.dll
del C:\WINDOWS\system32\drivers\i386p.sys

Potem uruchamiasz system w awaryjnym, odpalasz regedit i kasujesz wszyskie klucze z i386p w nazwie. W niektórych przypadkach trzeba będzie przejąć uprawnienia.

Gdyby objawy nie ustapiły podrzuć log z Rootkit Revealer.
Bobi
Dodano
27.06.2006 14:02:15
  • 115750 27.06.2006 14:16:11

    <BLOCKQUOTE><div><img src="/Themes/default/images/icon-quote.gif"> <strong>Bobi:</strong></div><div><br>Gdyby objawy nie ustapiły podrzuć log z Rootkit Revealer.<br></div></BLOCKQUOTE><br><br>Oto log z Rootkit Revealera:<br><BLOCKQUOTE><div>C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb&nbsp;&nbsp;&nbsp; 2006-06-27 12:36&nbsp;&nbsp;&nbsp; 64.00 KB&nbsp;&nbsp;&nbsp; Visible in Windows API, but not in MFT or directory index.</div></BLOCKQUOTE><br><br>I log z Gmera:<br><BLOCKQUOTE><div><br>GMER 1.0.10.10122 - http://www.gmer.net<br>Rootkit 2006-06-27 12:50:27<br>Windows 5.1.2600 Dodatek Service Pack 2<br><br><br>---- System - GMER 1.0.10 ----<br><br>SYSENTER&nbsp; ?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 00810002<br><br>---- Devices - GMER 1.0.10 ----<br><br>Device&nbsp;&nbsp;&nbsp; \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 81841ADA<br><br>---- Services - GMER 1.0.10 ----<br><br>Service&nbsp;&nbsp; C:\WINDOWS\system32\drivers\pe386.sys (*** hidden *** )&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [SYSTEM] pe386&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;-- ROOTKIT !!!<br><br>---- Registry - GMER 1.0.10 ----<br><br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386\Security&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386\Enum&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ErrorControl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@DisplayName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ErrorControl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@DisplayName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ErrorControl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@DisplayName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386\Security&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ErrorControl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@DisplayName&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\ControlSet002\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Security&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386\Enum&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ErrorControl&nbsp; 0<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ImagePath&nbsp;&nbsp;&nbsp;&nbsp; \??\C:\WINDOWS\system32\drivers\pe386.sys<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@DisplayName&nbsp;&nbsp; Win32 pe files loader<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@ExtParam&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0x07 0x09 0x8F 0x13 ...<br>Reg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Checked&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1<br><br>---- Files - GMER 1.0.10 ----<br><br>File&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; C:\System Volume Information\MountPointManagerRemoteDatabase&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>File&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; C:\System Volume Information\tracking.log&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>File&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; E:\System Volume Information\MountPointManagerRemoteDatabase&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>File&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; E:\System Volume Information\tracking.log&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br><br>---- EOF - GMER 1.0.10 ----<br></div></BLOCKQUOTE><br><br>

  • 115750 27.06.2006 16:41:22

    Wyrzuciłem tego pe386 i wyglada na to, że już jest ok, więc temat można uważać za zamknięty.<br>

  • Bobi 27.06.2006 17:56:09

    Wygląda na to że to jakiś klon/mutacja tego wcześniejszego śmiecia. Sa do siebie bardzo podobne, wykorzystują procesy systemowe (winlogon i services) i rozsiewają maile.<br> Opis: <a href="http://www.symantec.com/avcenter/venc/data/backdoor.rustock.a.html" target="_blank" title="http://www.symantec.com/avcenter/venc/data/backdoor.rustock.a.html">http://www.symantec.com/avcenter/venc/data/backdoor.rustock.a.html</a><br>

115750
Dodano:
27.06.2006 13:31:39
Komentarzy:
1
Strona 1 / 1