Rootkit problem

[Igneos Eructid]

Prije desetak godina su mi počela sranja na kompu. Sranja tipa zamijena tipaka misa, ili promjena podesenja titlova u video plejeru, ili nadjem otpakirane fajlove koje sam tek skinuo zapakirane. Posumnjao sam na hakera, ali nije mi bilo jasno kako to radi. Raznorazna sranja tog tipa su se nastavila vec preko deset godina, no nikad nikakva financijska steta, samo prcanje. S obzirom da sam mijenjao kompove komplet, on bi me valjda locirao po ip adresi, kad bih nesto napisao na usenetu. I sad mi je vec lagano prekipjelo, i poslao sam e-mail policiji na sto su me uputili da dodjem u stanicu prijaviti. Sad me zanimaju dvije stvari. Prva je sto mogu ocekivati, a druga je kako se zastititi od majmuna? Ako me on nekako zarazio rootkitom, to je neki rootkit koji niti jedan anti rootkit ne moze pronaci. Antivirusi ne nalaze nista takodjer. Probao sam napraviti low level format hard diska, ali nisam s tim programima mogao prebrisati boot sector. Jednostavno nesto ne da pristup. Probao sam kaspersky rescue disk stavit na usb i ostale slicne rescue diskove, no bez uspjeha, a sranja se nastavljaju. Ima li netko sugestiju sto da napravim?

[Forace]

Low level format sa kojim alatom? Tvorničkim od diska ili? Kako nisi mogao prebrisati boot sektor, šta su programi javljali? Ako želiš low level formatirat hard, digneš hirena i s njega pokreneš tvornički alat te onda lupiš low level format ....

Locirao po ip adresi na njuznet .... imaš instaliran firewall ? Skni comodo firewal ili neki sličan besplatan - ako koristi internet onda mora proć kroz firewall samim time ćeš vidjet što pokušava izać.

[Amdejac]

Jel ima još netko pristup tvom kompu osim tebe?

[SilentException]

Po ovome što si napisao, moja diagnoza je multiple personality disorder ili netko ima fizički pristup do kompa

[Igneos Eructid]

nitko nema fizicki pristup do kompa, a tcpview od microsofta javlja da nepoznati proces sa PID 0 (nula) otvara network konekcije. Guglah PID 0 i ispada da je to system idle process, pa mi nije jasno sto on ima otvarati konekcije. Instalirao sam outpost firewall pro i on javlja da nesto sto nije povezano s niti jednim procesom otvara network konekcije. Ako imam multiple personality disorder, onda je jedna od mojih osobnosti jebacki haker. Ali prihvatljivije mi je vjerovati da sam zrtva nekog bolesnika, s obzirom koliko dugo to vec traje. Hiren mi iz nekog razloga ne nudi ni gmer, ni niti jedan antirootkit alat, ili ga ja ne znam nac u izborniku, imam tamo neke linux i dos alate, ali toga nema. Hirens nudi jedan jedini alat za low level format koji radi, i to sam napravio (cekao 5 sati da zavrsi) no ili mi je i stick s kojeg sam instalirao windowse zarazen takodjer, ili ne znam kaj. Upomoc!

[Forace]

Ajmo opet: imaš firewall pa onda blokiraj pravilom nepoznate procese. S druge strane može skrinšot toga firewalla i toka misterioznog otvaranja nečega što nije povezano sa procesom?

Obično firewall napiše prema kuda je što otvoreno. Isto tako slobodno probaš drugi neki firewall.

Da li si probao raditi u safe modu ? Kako se tamo računalo ponaša?

I za kraj: šta su javljali preostali alati na hirens boot cd.u? Tj. oni koji nisu radili?

Inače kad se malo bolje razmisli:

Promjena podešenja titlova - može se desit ako se radi o razičitim filmovima/titlovima, jedino je problem ako istia datoteka i isti titlovi imaju različite postavke prilikom različitih pokretanja

Otpakiravanje zapakiranih datoteka - također može biti posve legitimna i automatizirana radnja od strane nekoga programa ili download managera ...

Zamjena tipki miša .... to mi ne pada napamet

[Amdejac]

Ovo je misterija. Kako si spojen na net. Koji hardware i koji provajder. Jel žica ili wifi?

[Forace]

U prilog tome: prema kojoj adresi (provajderu) je otvorena ta "problematična" konekcija koju vidiš u firewallu?

[Igneos Eructid]

Windows firewall ne radi svoj posao kako spada, pa sam instalirao outpost. Outpost javlja sve uglavnom regularno dok nedavno nije javio da se nesto sto nije povezano sa niti jednim procesom pokusava negdje spojiti. Tcpview program od microsofta javlja gomilu system procesa sa PID 0 koji imaju nekakve konekcije prema svugdje, od localhosta do nekih meni nepoznatih ip adresa. Guglah PID 0 i pise da je to system idle proces, pa mi nije jasno sto on ima bilo kakve network konekcije otvarati. A sto se otpakiranih fajlova tice, nikakav download manager ne koristim, vec skidam sa utorrentom i u zadnje vrijeme sa qbittorrentom. I to sto skinem provjerim, bude sve u redu, vratim se za komp nakon 15 minuta, fajlovi otpakirani. Titlovi su mijenjani na isti nacin. Podesim za odredjeni film, odem u wc pisat, vratim se nazad, promijenjeno...a bila je samo pauza ukljucena pritiskom na space. Mijenjanje tipki misa mu je samo jedan od "stosova", takodjer sam primjetio da je instalirao nekakav nevidljivi network adapter, koji se inace u windowsima ne vidi, ali odlaskom na device manager pa show hidden devices se vidi. A zadnji "stos" mu je instalacija nekakvog virtualnog usb sticka, no nemam pojma cemu to.

[coconut]

Kupi novi hard i na njega stavi nove winse. Po mogućnosti sa nekog drugog medija tj. drugu verziju jer bi se moglo dogoditi da je problem u njoj.

[Igneos Eructid]

Citiraj:

Autor coconut

Kupi novi hard i na njega stavi nove winse. Po mogućnosti sa nekog drugog medija tj. drugu verziju jer bi se moglo dogoditi da je problem u njoj.

a izgleda da nema drugog rijesenja nego to...

[tutix]

A kako ides na net? Koji modem?

Malo je apstraktno da te netko prati po IP-u jer si iza NAT-a, a hardverski FW u modemu bi morao rijesavat takve stvari. Ali ako ti je probio sifru za wireless, onda vec moze svasta...

[[GOW]Nec]

Da je ne znam koji vrag, imaš informatički obrazovanog poltergeista.

U mom slučaju problem bih pokušao otkloniti na sljedeći način:

- Router rekonfiguriraj otpojen sa mreže, isključi (ako ne koristiš)/ osiguraj bolje WLAN, promijeni routeru pristupni kod i pass. Uključi MAC filtering, dozvoli samo uređaje koje koristiš.

- Računalo reinstaliraj a prije toga wipeaj HDD, po mogućnosti se riješi Viste jer se s njom nitko usrećio nije. Ako imaš HW za vrtit Vistu, onda možeš i W7.

Ako ti se poslije toga problem ponavlja, zovi lokalnog vrača/ svećenika/ istjerivača duhova.

[Forace]

Evo kako bih ja rnešio i kqko inače riješqvqm kad namjerno pokreem sumljivi .exe . Pomoću firewalla (imam comodo) potpuni lockdown na internet pa u njemu lijepo prevledam tko i kuda želi. tcpview iz windowsa je zgodan ali prikazuje sve i malo je nezgrapan. Onda ako ne uspijem nać bilo koji sumljivi proces puštam fifewall u načimu rada za učenje znači svaki port svaka aplikacijal on mene pita ..... samim time vrlo lqko lovim i istrjebljujem ako se bilo čim i zarazim a jednom jesam .

Po potrebi koristim safe mode.

Bottom line ako imaš firewall nauči gq koristit i analizirat tko ide van metodom propuštanja port po port.

Naravno prije svefa osiguraj lokalnu mrežu kako je već navedeno.

Čak i reinstalacija možda ne pomogne jer ako te baš pikira toliko našao te negdje gdje ima pristup ili tvojoj adresi ilo si vjerovao toj osobi pa nešto pokrenuo od njega tj. šta ti je poslao.

[Igneos Eructid]

Mali apdejt: prijavio sam sve policiji...gledali su me u postaji dok sam govorio u cemu je problem kao da sam s marsa pao, i policajac je rekao da ce stvar proslijediti njihovoj informatickoj ekipi. U medjuvremenu sam prodao komp i nabavio drugi, kompletan. S obzirom da ne radim i da sam bez primanja, nabavio sam neko najjeftinije smece za onih 1500kn za koje sam prodao stari komp, dakle fina pusiona. Zasad je sve u redu, iako sam odustao od raznih firewall-ova i antivirusnog skeniranja. Sad imam samo win firewall i win defender, a s obzirom da ne surfam po sumnjivim stranicama, nije mi ni potreba. Onaj bolesnik je nadam se kaznjen, i zasad je sve 5, iako se bas mislim bi li otisao do policije da mi kazu sto su napravili po tom pitanju, no bojim se da nisu nista, jer tip mi nije ukrao novce, a za dispet se ne moze zakonski goniti. Doduse, provala u komp je sad po novome 3 godine zatvora, pa se mozda i opametio. Inace, sad sam na bnetu, i imam samo modem, bez NAT-a, bez ikakve zastite, i sve 5. Normalni hakeri vjerojatno imaju pametnijeg posla. Eh da, kad sam prosao komp sa GMER-om prije par mjeseci, nekim alatom za rootkitove, nasao je neki fajl, ne rootkit, nego obican tekstualni fajl, u kojem na hrvatskom pise "korisnik je instalirao antivirus avast, koji sadrzi zastitu i kavez za viruse..." dalje je valjda jos nesto pisalo, no nisam mogao kliknuti na taj tekst fajl, da ga otvorim, nego samo procitao to iz kratkog opisa.

[Igneos Eructid]

mali apdejt....policija nije riješila ništa, a bolesnik me opet pronašao...više nemam novca za prodaju kompa i nabavku drugog...najnovi štos mu je blokiranje emsisoft stranice, jer sam njihov firewall koristio...palo mi je na pamet, nakon gomile guglanja kako hakeri "dejstvuju", da on ne koristi nikakav maliciozni soft, s obzirom da sam komp procesljao sa svim zivim alatima, vec dobija pristup nekim "legalnim" načinom...pa sam skinuo tweak ui za moju sedmicu, i zabranio sve pod security tabom, i usput sam ovdje procitao da se i nat i ruter moze zaobici (nat traversal), a to funkcionira preko udp-a na portu 4500...blokirao sam i taj port i protokol na firewall-u, no nije pomoglo...I am clueless i nemam blage što dalje učiniti...

[Master_Hrc]

Ovo stvarno vec nevjerojatno zvuči....znači da neko samo tako iz zajebancije preko mreže upadne na komp a nikakava korist od firewalla....

Ono sto bih ja prvo napravio vec je predložio nec.....uzeo bih neki ruter polovni, imas ih vec za 100 kuna.......ja sam svog belkina platio novog 200 kuna, bitno je da ima WAN port i spojiti na bnetov modem....u ruteru obavezno podesiti MAC Filtering jer koliko znam to nema šanse da se probije....pa onda vidjeti....

Malwarebytes si isto probao pretpostavljam?

[Cuky]

MAC filtering se samo tako rijesi, a i fakea se adresa u roku keks.

Meni pada na pamet ono sto su decki rekli, ili netko ima fizicki pristup tvom kompu, ili ti je instalacijski medij zarazen ili pak instaliras neki software koji je zarazen, a da to ni ne kuzis.

Skini neki linux live cd/usb, pobrisi particije i partition table na disku, kreiraj nove particije i formatiraj. Ako koristis Windowse nabavi novi instalacijski medij, a sav software koji instaliras zamijeni novijim verzijama.

Takodjer na ruteru napravi factory reset, promijeni username i password, provjeri da neki odredjeni portovi nisu otvoreni te iskljuci wireless ako ga ne koristis. Ako ga koristis onda postavi WPA-WPA2 metodu enkripcije jer ti to ne bude sigurno probio. Btw, stavi neki novi password, totalno razlicit od prethodnog (da nema istih rijeci, itd). Ni slucajno neki prethodno koristeni.

Sve usb stickove/eksterne diskove formatiraj preko linux live cd-a/usb-a tako da i taj eventualni problem eliminiras.

Ne pada mi na pamet sta bi vise mogao napravit. Mozda promijenit brave u stanu/kuci?

[goc_mails]

a da probaš prikupiti nešto para pa hardwerski firewall?
Mislim da ima na njuškalu neki d linkov za 250kn

edit: P.s. možda je počinitelj na pc ekspertu pa upravo sve ovo čita :-)

[Igneos Eructid]

Danas sam surfajući naletio na članak gdje se nekom zaraženom liku sugerira combofix. Skinuo sam taj alat i odvrtio, ali mislim da nije niš obrisao već samo dao log fajl. U tom fajlu piše da mi je napravljen Panther folder u windozama. Guglajući sam saznao da je to trojan. Potražio sam čime ga se mogu riješiti, i skinuo adaware, superantispyware, i spybot search and destroy, ali osim tracking cookie-a nisu našli nikakav Panther. Pa sam skinuo neki microsoftov alat koji valjda vrijedi samo 10 dana i prvo mi nije dao da ga pokrenem, pa sam ga skinuo ponovo, i cekao sat ipo vremena da ne bi nasao nista. Takodjer sam primjetio da moj usb stick od 8gb ima 7.5gb, ali nakon formata ima 7.3 a ne 7.5 slobodno. Imam neki linux mint cd, pa sam pokrenuo live linux i s njega formatirao disk, da bi zatim pokusao isto sa usb stickom, ali mi nes nije dalo...i jos, kad sam pokusao izvaditi taj live cd iz drajva, pritiskom na dugme na przilici, nije mi dalo da ga izvadim, kao da se przi nesto na njega...

[Forace]

Mislim da linux live cd niti ne možeš izvaditi kad je podignut, tek kad ugasiš linux otključa drive.

Ako i jesi ičim zaražen nema ti smis iz aktivne instalacije windowsa pokretati alate za čišćenje.

Koristi ili safe mode ili napravi boot medije pa onda s njima čisti.

Ima avast ima eset takve rescue medije.

Poanta je da se čisti u "offline" načinu rada, znači dok nisu windowsi dignuti.

Mislim da ima i na hirenu nekakvih alata koje je moguće čak i updejtat sa neta.

Imaš na hirenu live windowse jesi oguda tražio nepoćudni softwer ....

Bottom line čime god pristupio problemu moraš znati što radiš.

[dejanbinladen]

Citiraj:

Autor goc_mails

a da probaš prikupiti nešto para pa hardwerski firewall?
Mislim da ima na njuškalu neki d linkov za 250kn

edit: P.s. možda je počinitelj na pc ekspertu pa upravo sve ovo čita :-)

moze probat pfsense na neku staru kantu i stavit poslje rutera, mada mi tema smrdi na trolanje

[nino]

The AC, DiTech, cuks i sandokan111, ukoliko nemate vezano za problem nista pisati, nemojte takve postove ni stavljati. Cisto da znate za ubuduce.

[HumWeed]

tema je prava sci-fi :P

ako je ikakav hakler u pitanju onda radi sranja preko nekog servera kao sto je nekad bio sub7
a to sto te 10 godina netko proganja je prebajno meni

nijedan inteligentan hakler iliti osoba :P
nebi gubila vrijeme na nekog ... sta god da jesi :P

[Prki]

Ja bi prvo provjerio osobe koje ti dolaze u kuću, sve mi smrdi da te netko zaj.... ,znači netko tko se imalo kuži u kompjutere i tko ostane sam sa pilom dok ti odeš na WC a on ti sa sticka lijepo uvali bubicu i nastavlja te pilati.Sve ostale varijante su mi nevjerovatne.Kolega je imao sličnu situaciju(ne 10g doduše) pa se ispostavilo da ekipa od maloga tjera zajebanciju(da mu sin to ne zna naravno).

[sandokan111]

Citiraj:

Autor domis

i u tih 15 god si dozivio apsolutno svaku mogucu situaciju?

Normalno da ne, ali s racunalima su stvari jako jednostavne. Ili je 0 ili je 1. Kod njega je uvijek 2 ili 1.5 izgleda. Mogao bi razumjet jednom, ali non stop, to je nemoguce. Pogotovo kad uzmes zasto se stvari dogadjaju. Nikoga, osim nekog njemu bliskog nije briga da njega zajebaje, a to smo iskljucili jer "jedino on ima pristup kompu".

Citiraj:

S obzirom da sam mijenjao kompove komplet, on bi me valjda locirao po ip adresi, kad bih nesto napisao na usenetu

Ne moze vidjet njegovu ip adresu na usenetu jer vecina skriva x-trace (evo gledao sam sad newse od prije, ipak ne skriva, cak ni nntp posting host), ali ajde recimo da nije, njegov ip se mijenja, pogotovo jer je ovo "10 godina vec" kad smo svi bili na dynamic ip od 24 sata. Znaci ovaj bi morao camit i cekat da on posta i onda u 24 sata nac rupu u sistemu na kompu i instalirat rootkit Ovo je samo po sebi takav sci fi da je smjesno. Ako mislis da nije, evo ja ti dam svoj ip, nemam firewalla ni antivirus, a ip mi se mjenja svako 10ak dana, dam ti mjesec da me "shakiras". To vrijedi za bilokog tu... Previse filmova ljudi gledaju.
Nadalje

Citiraj:

to je neki rootkit koji niti jedan anti rootkit ne moze pronac

Opet, sanse za ovo su takav sci fi. Znaci, ako ga niti jedan "anti rootkit" ne nalazi, to znaci da se sigovi vjerojatno ne nalaze u bazi. Sanse za ovo su jedino ako je lik sam svoj rootkit napravio (yea right), ili je promjenio neke stvari u vec postojecem (moguce, ali da ce netko to ic radit da bi nekog zajebavao su sanse kao da ti odlucis kopat tunel kroz podrum svoje kuce lopatom da imas jos jedan izlaz odmah do trenutnih izlaznih vrata.
Nadalje.
On radi instalacije novih windowsa, formatirava diskove, mijenja kompove, ali "rootkit" i dalje ostaje ili ga lik pronalazi. Ne samo to, taj rootkit je tako pametan da mu ne daje ni opcije da pokrece random programe jeli (gmer se snima uvijek s random imenom).

Ne moram ti objasnjavat, da je ovo takav sci fi takodjer, da bi kreator ovakvog rootkita toliko para mogao natuc na crnom trzistu da je to strasno (pogledaj koliko je kreator zeusa natuko). I sad bi se netko tako talentiran nasao zajebavat jednog korisnika (nastranu sta takav rootkit ne postoji) i mjenjat mu titlove na filmu DOK ON GLEDA I OTISO JE U WC.

Daj molim te.
Znaci, ili troll, ili multiple disorder pa sam sebi radi ove stvari a tog nije svjestan, ili alzheimer pa zaboravlja stvari. Haker sigurno nije.

[Forace]

Ili jednostavno najbanalnije rješenje što je netko rekao da mu neki prijatelj to radi.

Zašto bi uopće bio rootkit? Pa da mu stavi najobičniji vnc kao servis mogao bi se igrat, ili da mu instalira onaj patch pa koristi rdc za više korisnika odjednom.

Teško za ip staviš mu (također skriveni) no-ip i da vidiš veselja.

Zaista teško za izvest iz neposredne blizine i uz fizički pristup računalu.

A što se tiče ponude za IP, dam ti ja par exe.a koji bi gorenavedeno napravili pa ih ti svojevoljno pokreni . Uostalom lakše je nekom upast na način da on nešto pokrene nego da se ide direknom provalom, zar ne?

[sandokan111]

Citiraj:

Autor Forace

A što se tiče ponude za IP, dam ti ja par exe.a koji bi gorenavedeno napravili pa ih ti svojevoljno pokreni . Uostalom lakše je nekom upast na način da on nešto pokrene nego da se ide direknom provalom, zar ne?

Pa normalno, ali ja nista pokrecat necu. On insinuira da je netko samo na osnovu ip-a upao njemu u roku od 24 sata na komp. To je domena sci-fia.
Nitko nikad nije rekao da ako ti pokrenes maliciozni .exe da neces instalirat sranje na komp. Ali o tome tu nije rijec... Imam i ja svakakvih takvih fileova koje ti mozes pokrenut i raznorazna sranja ti se pojave na kompu... (ali opet, fresh install i novi komp to rjesi). Njemu izgleda skace iz kompa u komp teslinim teoretskim prijenosima struje zrakom.

[Forace]

Pa iz njegovih posta nigdje nije vidljivo da je poslušao savjet o stvarnom clean installu. Također je upitno da li razumije stvarno što to znači. Znači da ima provjereni medij, da ne pokreće ništa sumljivo, stavi propisnu zaštitu itd.

Kao što si primjetio ima puno nelogičnosti u postovima poput izjave "ali ništa ne može prebrisati boot sektor" ... pitanje koliko je uopće upućen u tematiku.

Ali ostavimo špekulacije po strani.

Druga stvar combofix "mislim da nije ništa pobrisao samo ostavio log fajl" - čitajući log fajl vidiš šta je radio taj alat ...

Ima tu dovoljno savjeta neka ide korak po korak ili neka piše šta mu nije jasno (a kladim se da je tu puno toga nejasno ).

[Prki]

Citiraj:

Autor DiTech

Ja glasam za disorder jer postoji sumnja i to je u nekom vidu rijesenje tak da nije OT, Nino, trebao bi malo dopustit humora u topicu jer ovo nije klasicna "ne radi mi disk" situacija.
U slucaju da je troll, onda ti se sad smije kak brises postove ekipi koja ga je skuzila.

btw. http://forum.pcekspert.com/showthread.php?t=84812

Eventualno bi moglo biti posto je lik naveo da skida s torrenta da uvijek skine neko exe smece, ali to bi mu ova kolicina antivirusa spywarea pronasla barem jednom.

A pazi ovo je samo dokaz da čovjek ima problema već bar 7g.Sumnjam da bi 7g. trollao